Requisitos de rede da ocorrência dedicada

Webex Calling Instância Dedicada é parte do portfólio da Cisco Cloud Calling, desenvolvido pela tecnologia de colaboração Cisco Unified Communications Manager (Cisco Unified CM). A Ocorrência Dedicada oferece soluções de voz, vídeo, mensagens e mobilidade com os recursos e benefícios de telefones IP da Cisco, dispositivos móveis e clientes de desktop que se conectam com segurança à Ocorrência Dedicada.

Este artigo é destinado aos administradores de rede, particularmente administradores de segurança de firewall e proxy que querem usar Instância Dedicada na organização.

Visão geral da segurança: Segurança em camadas

A Ocorrência Dedicada usa uma abordagem em camadas para segurança. As camadas incluem:

  • Acesso físico

  • Rede

  • Terminais

  • Aplicativos UC

As seguintes seções descrevem as camadas de segurança nas implantações de Instância Dedicada.

Segurança física

É importante fornecer segurança física para locais da Sala Equinix Meet-Me e instalações do Centro de Dados de Instância Dedicada da Cisco . Quando a segurança física é comprometida, podem ser iniciados ataques simples, como interrupção do serviço, ao desligar a energia dos comutadores de um cliente. Com acesso físico, invasores podem obter acesso a dispositivos do servidor, redefinir senhas e obter acesso a comutadores. O acesso físico também facilita ataques mais sofisticados, como ataques man-in-the-middle, que é por isso que a segunda camada de segurança, a segurança da rede, é fundamental.

As unidades de disco de auto-criptografia são usadas em Centros de Dados de Instância Dedicada que hospedam aplicativos UC.

Para obter mais informações sobre práticas gerais de segurança, consulte a documentação no seguinte local: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Segurança da rede

Os parceiros precisam garantir que todos os elementos de rede sejam protegidos na infraestrutura de Instância dedicada (que se conecta via Equinix). É de responsabilidade do parceiro garantir as melhores práticas de segurança, tais como:

  • Separar VLAN para voz e dados

  • Habilitar Segurança da Porta que limita o número de endereços MAC permitidos por porta, contra a tabela CAM de confirmação

  • Proteção de origem IP contra endereços IP spoofed

  • A Inspeção Dinâmica do ARP (DAI) analisa o protocolo de resolução de endereços (ARP) e o ARP gratuito (GARP) para violações (contra spoofing ARP)

  • 802. limita1x o acesso à rede para autenticar dispositivos nas VLANs atribuídas (os telefones suportam 802.1x)

  • Configuração da qualidade de serviço (QoS) para marcação apropriada de pacotes de voz

  • Configurações de portas do firewall para bloquear qualquer outro tráfego

Segurança de endpoints

Os terminais da Cisco suportam recursos de segurança padrão, como firmware assinado, inicialização segura (modelos selecionados), certificado instalado do fabricante (MIC) e arquivos de configuração assinados, que fornecem um certo nível de segurança para os terminais.

Além disso, um parceiro ou cliente pode permitir segurança adicional, como:

  • Criptografe os serviços telefônicos IP (via HTTPS) para serviços como a Mobilidade de extensão

  • Emissão de certificados localmente significativos (LSCs) da função de proxy da autoridade de certificação (CAPF) ou de uma autoridade de certificação pública (CA)

  • Criptografar arquivos de configuração

  • Criptografar mídia e sinalização

  • Desative estas configurações se elas não foram usadas: Porta pc, acesso de VLAN de voz no PC, ARP gratuito, acesso à web, botão Configurações, SSH, console

A implementação de mecanismos de segurança na Ocorrência Dedicada impede o roubo de identidade dos telefones e do servidor Unified CM, violação de dados e sinalização de chamada/violação de fluxo de mídia.

Ocorrência dedicada pela rede:

  • Estabelece e mantém fluxos de comunicação autenticados

  • Assina digitalmente arquivos antes de transferir o arquivo para o telefone

  • Criptografa fluxos de mídia e sinalização de chamada entre Cisco Unified IP phones

Configuração de segurança padrão

A segurança por padrão oferece os seguintes recursos de segurança automáticos para Cisco Unified IP phones:

  • Assinar os arquivos de configuração do telefone

  • Suporte para criptografia de arquivos de configuração de telefone

  • HTTPS com Tomcat e outros serviços da web (MIDlets)

Para o Unified CM versão 8.0 posterior, esses recursos de segurança são fornecidos por padrão sem executar o cliente Lista de certificados de confiança (CTL).

Serviço de verificação de confiança

Como há um grande número de telefones em uma rede e telefones IP tem memória limitada, o Cisco Unified CM atua como um armazenamento de confiança remota através do Serviço de Verificação de Confiança (TVS), de modo que um armazenamento de confiança de certificados não precisa ser colocado em cada telefone. O cisco IP phones entrar em contato com o servidor TVS para verificação porque eles não podem verificar uma assinatura ou certificado através de arquivos CTL ou ITL. Ter um armazenamento de confiança central é mais fácil de gerenciar do que ter o trust store em cada Cisco Unified IP virtual.

O TVS permite Cisco Unified IP para autenticar servidores de aplicativos, como serviços EM, diretório e MIDlet, durante o estabelecimento do HTTPS.

Lista inicial de confiança

O arquivo Lista de confiança inicial (ITL) é usado para a segurança inicial, de modo que os terminais podem confiar Cisco Unified CM. A ITL não precisa que nenhum recurso de segurança seja habilitado explicitamente. O arquivo ITL é criado automaticamente quando o grupo é instalado. A chave privada do servidor do Unified CM Trivial File Transfer Protocol (TFTP) é usada para assinar o arquivo ITL.

Quando o Cisco Unified ou servidor CM estiver em modo não seguro, o arquivo ITL é baixado em cada telefone Cisco IP suportado. Um parceiro pode visualizar o conteúdo de um arquivo ITL usando o comando CLI, admin:show itl.

Os cisco IP phones precisam do arquivo ITL para executar as seguintes tarefas:

  • Comunique-se com segurança para o CAPF, um pré-requisito para suportar a criptografia de arquivos de configuração

  • Autenticar a assinatura do arquivo de configuração

  • Autenticar servidores de aplicativos, tais como serviços EM, diretório e MIDlet durante o estabelecimento de HTTPS usando TVS

Cisco CTL

Autenticação de dispositivo, arquivo e sinalização confiam na criação do arquivo Lista de certificados confiável (CTL), que é criado quando o parceiro ou cliente instala e configura o Cliente da lista de confiança de certificados da Cisco.

O arquivo CTL contém entradas para os seguintes servidores ou tokens de segurança:

  • Token de Segurança do Administrador do Sistema (SAST)

  • Serviços Cisco CallManager e Cisco TFTP que estão em execução no mesmo servidor

  • Função de proxy da autoridade de certificação (CAPF)

  • Servidor(es) TFTP

  • Firewall ASA

O arquivo CTL contém um certificado de servidor, chave pública, número de série, assinatura, nome do emissor, nome do assunto, função do servidor, nome dns e endereço de IP para cada servidor.

A segurança do telefone com CTL fornece as seguintes funções:

  • Autenticação de arquivos baixados pelo TFTP (configuração, localidade, lista de toques, e assim por diante) usando uma chave de assinatura

  • Criptografia de arquivos de configuração TFTP usando uma chave de assinatura

  • Sinalização de chamada criptografada para telefones IP

  • Áudio de chamada criptografado (mídia) para telefones IP

Segurança para Telefones IP Cisco na ocorrência dedicada

A Ocorrência Dedicada oferece registro do ponto final e processamento de chamada. A sinalização entre Cisco Unified CM e terminais é baseada no Secure Skinny Client Control Protocol (SCCP) ou Protocolo de iniciação de sessão (SIP) e pode ser criptografada usando Transport Layer Security (TLS). A mídia de/para os terminais é baseada no RTP (Protocolo de Transporte em Tempo Real) e também pode ser criptografada usando RTP Seguro (SRTP).

Habilitar modo misto no Unified CM habilita a criptografia do tráfego de mídia e sinalização de e para os terminais da Cisco.

Aplicativos de UC seguros

Ativando o modo misto na ocorrência dedicada

O modo misto é ativado por padrão na Ocorrência dedicada.

Habilitar modo misto em Instância Dedicada habilita a capacidade de executar a criptografia do tráfego de mídia e sinalização de e para os terminais da Cisco.

Na Cisco Unified CM versão 12.5(1), uma nova opção para permitir a criptografia de sinalização e mídia com base no SIP OAuth em vez do modo misto /CTL foi adicionada aos clientes Jabber e Webex. Portanto, no Unified CM versão 12.5(1), o SIP OAuth e SRTP podem ser usados para permitir a criptografia para sinalização e mídia para clientes Jabber ou Webex. A ativação do modo misto continua a ser necessária para os IP phones Cisco e outros terminais Cisco neste momento. Há um plano para adicionar suporte ao SIP OAuth em terminais 7800/8800 em uma versão futura.

Segurança de mensagens de voz

Cisco Unity Connection se conecta ao Unified CM através da porta TLS. Quando o modo de segurança do dispositivo não é seguro, o Cisco Unity Connection se conecta ao Unified CM através da porta SCCP.

Para configurar a segurança das portas de mensagens de voz do Unified CM e dispositivos Cisco Unity que estão executando dispositivos SCCP ou Cisco Unity Connection que estão executando o SCCP, um parceiro pode escolher um modo de segurança de dispositivo seguro para a porta. Se você escolher uma porta de correio de voz autenticada, uma conexão TLS abre, que autentica os dispositivos usando uma troca de certificado mútuo (cada dispositivo aceita o certificado do outro dispositivo). Se você escolher uma porta de correio de voz criptografada, o sistema autentica os dispositivos e, em seguida, envia fluxos de voz criptografados entre os dispositivos.

Para obter mais informações sobre as portas de mensagens de voz de segurança, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Segurança para SRST, Troncos, Gateways, CUBE/SBC

Uma porta habilitada para Cisco Unified Telefonia de Site Remoto (SRST) que oferece tarefas de processamento de chamada limitadas se o Cisco Unified CM em instância dedicada não puder concluir a chamada.

Gateways habilitados para SRST seguros contêm um certificado auto-assinado. Depois que um parceiro executa tarefas de configuração SRST na Administração do Unified CM, o Unified CM usa uma conexão TLS para autenticar com o serviço de Provedor de Certificados no gateway habilitado para SRST. O Unified CM então recupera o certificado do gateway habilitado para SRST e adiciona o certificado ao banco de dados do Unified CM.

Depois que o parceiro redefinir os dispositivos dependentes na Administração do Unified CM, o servidor TFTP adiciona o certificado de gateway habilitado para SRST ao arquivo cnf.xml de telefone e envia o arquivo para o telefone. Um telefone seguro então usa uma conexão TLS para interagir com o gateway habilitado para SRST.

Recomenda-se ter troncos seguros para a chamada originada de Cisco Unified CM ao gateway para chamadas PSTN de saída ou passagem através do elemento Cisco Unified borda (CUBE).

Os troncos SIP podem suportar chamadas seguras para sinalização, bem como mídia; TLS fornece criptografia de sinalização e SRTP fornece criptografia de mídia.

Protegendo comunicações entre o Cisco Unified CM e o CUBE

Para comunicações seguras entre Cisco Unified CM e o CUBE, parceiros/clientes precisam usar certificados auto assinados ou certificados assinados pela CA.

Para certificados auto assinados:

  1. CUBE e Cisco Unified CM geram certificados auto assinados

  2. CUBE exporta certificado para Cisco Unified CM

  3. Cisco Unified CM exporta certificado para CUBE

Para certificados assinados pela CA:

  1. O cliente gera um par de chaves e envia uma Solicitação de Assinatura de Certificado (CSR) para a Autoridade certificadora (CA)

  2. A CA a assina com sua chave privada, criando um Certificado de Identidade

  3. O Cliente instala a lista de certificados raiz e de intermediação de CA confiáveis e o Certificado de identidade

Segurança de terminais remotos

Com os terminais móveis Remote Access (MRA), a sinalização e a mídia estão sempre criptografadas entre os terminais MRA e Expressway nós. Se o protocolo Interativo de Estabelecimento de Conectividade (ICE) é usado para terminais MRA, é necessário sinalização e criptografia de mídia dos terminais MRA. No entanto, a criptografia da sinalização e da mídia entre o Expressway-C e os servidores Unified CM internos, terminais internos ou outros dispositivos internos exigem modo misto ou SIP OAuth.

Cisco Expressway fornece suporte protegido por firewall traversal e linha para registros do Unified CM. O Unified CM fornece controle de chamada para terminais móveis e no local. A sinalização atravessa a Expressway rápida entre a extremidade remota e o Unified CM. A mídia atravessa a Expressway e é atrasada diretamente entre os terminais. Toda a mídia é criptografada entre o Expressway-C e a extremidade móvel.

Qualquer solução MRA requer Expressway e Unified CM, com clientes soft compatíveis com MRA e/ou terminais fixos. A solução pode opcionalmente incluir o IM e Presence Service e o Unity Connection.

Resumo do protocolo

A tabela a seguir mostra os protocolos e serviços associados usados na solução Unified CM.

Tabela 1. Protocolos e serviços associados

Protocolo

Segurança

Serviço

SIP

TLS

Estabelecimento de sessão: Registrar, convidar etc.

HTTPS

TLS

Logon, Provisionamento/Configuração, Diretório, Correio de Voz Visual

Mídia

SRTP

Mídia: Áudio, Vídeo, Compartilhamento de Conteúdo

XMPP

TLS

Mensagem Instantânea, Presença, Federação

Para obter mais informações sobre a configuração MRA, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opções de configuração

A Ocorrência Dedicada oferece ao Parceiro flexibilidade para personalizar serviços para usuários finais através do controle total das configurações do segundo dia. Como resultado, o Parceiro é o único responsável pela configuração adequada do serviço de Instância Dedicada para o ambiente do usuário final. Isso inclui, mas não limitado a:

  • Escolher chamadas seguras/não seguras, protocolos seguros/inseguros, como SIP/sSIP, http/https etc. e entender todos os riscos associados.

  • Para todos os endereços MAC não configurados como SECURE-SIP em InstânciaDedicada, um invasor pode enviar uma mensagem de Registro SIP usando esse endereço MAC e ser capaz de fazer chamadas SIP, resultando em fraude com tarifa. O requisito é que o invasor possa registrar seu dispositivo/software SIP para Instância Dedicada sem autorização se ele sabe o endereço MAC de um dispositivo registrado na Ocorrência Dedicada.

  • Expressway políticas de chamada E-E, transformar e pesquisar regras devem ser configuradas para impedir fraudes de ligação tarifada. Para obter mais informações sobre como evitar fraudes com tarifa usando o Expressways, consulte a Seção Expressway C Expressway-E do Collaboration SRND.

  • Configuração do plano de discagem para garantir que os usuários só possam discar destinos permitidos, por exemplo, proibir discagem nacional/internacional, as chamadas de emergência serão encaminhadas corretamente etc. Para obter mais informações sobre a aplicação de restrições usando o plano de discagem, consulte a seção Dial Plan do Collaboration SRND.

Requisitos de certificado para conexões seguras na Ocorrência dedicada

Para Instância Dedicada, a Cisco fornecerá o domínio e assinará todos os certificados para os Aplicativos UC usando uma autoridade de certificação (CA) pública.

Ocorrência dedicada – números de porta e protocolos

As tabelas a seguir descrevem as portas e protocolos que são suportados em Instância Dedicada. As portas que são usadas para um determinado cliente depende da implantação e solução do cliente. Os protocolos dependem da preferência do cliente (SCCP x SIP), dos dispositivos locais existentes e de qual nível de segurança determinar quais portas devem ser usadas em cada implantação.

A Ocorrência dedicada não permite a Tradução de endereços de rede (NAT) entre os terminais e o Unified CM, pois alguns dos recursos de fluxo de chamada não funcionarão, por exemplo, o recurso durante a chamada.

Instância dedicada – Portas do cliente

As portas disponíveis para clientes - entre o cliente no local e a Instância dedicada é mostrada na Tabela 1 Portas do cliente de instância dedicadas. Todas as portas listadas abaixo são para o tráfego do cliente que atravessa os links de peering.

A porta SNMP está aberta por padrão apenas para que o Cisco Emergency Responder ofereça suporte à sua funcionalidade. Como não oferecemos suporte a parceiros ou clientes para monitorar os aplicativos UC implantados na nuvem de Ocorrência dedicada, não permitimos a abertura de porta SNMP para quaisquer outros aplicativos UC.

As portas no intervalo de 5063 a 5080 são reservadas pela Cisco para outras integrações de nuvem, parceiros ou administradores de clientes são recomendados para não usar essas portas em suas configurações.

Tabela 2. Portas do cliente de ocorrência dedicada

Protocolo

TCP/UDP

Source

Destino

Porta de origem

Porta de destino

Propósito

Ssh

TCP

Cliente

Aplicativos UC

Não permitido para aplicativos Cisco Expressway.

Superior a 1023

22

Administração

Tftp

UDP

Terminal

Unified CM

Superior a 1023

69

Suporte ao terminal herdado

LDAP

TCP

Aplicativos UC

Diretório externo

Superior a 1023

389

Sincronização de diretório com o cliente LDAP

HTTPS

TCP

Navegador

Aplicativos UC

Superior a 1023

443

Acesso à Web para interfaces administrativas e de autoatendplicação

E-mail de saída (SEGURO)

TCP

Aplicativo UC

CUCxn

Superior a 1023

587

Usado para escrever e enviar mensagens seguras a qualquer destinatário designado

LDAP (SEGURO)

TCP

Aplicativos UC

Diretório externo

Superior a 1023

636

Sincronização de diretório com o cliente LDAP

H323

TCP

Gateway

Unified CM

Superior a 1023

1720

Sinalização de chamada

H323

TCP

Unified CM

Unified CM

Superior a 1023

1720

Sinalização de chamada

SCCP

TCP

Terminal

Unified CM, CUCxn

Superior a 1023

2000

Sinalização de chamada

SCCP

TCP

Unified CM

Unified CM, Gateway

Superior a 1023

2000

Sinalização de chamada

MGCP

UDP

Gateway

Gateway

Superior a 1023

2427

Sinalização de chamada

Backup MGCP

TCP

Gateway

Unified CM

Superior a 1023

2428

Sinalização de chamada

SCCP (SEGURO)

TCP

Terminal

Unified CM, CUCxn

Superior a 1023

2443

Sinalização de chamada

SCCP (SEGURO)

TCP

Unified CM

Unified CM, Gateway

Superior a 1023

2443

Sinalização de chamada

Verificação de confiança

TCP

Terminal

Unified CM

Superior a 1023

2445

Fornecer serviço de verificação de confiança para os terminais

Cti

TCP

Terminal

Unified CM

Superior a 1023

2748

Conexão entre os aplicativos CTI (JTAPI/TSP) e CTIManager

CTI seguro

TCP

Terminal

Unified CM

Superior a 1023

2749

Conexão segura entre os aplicativos CTI (JTAPI/TSP) e o CTIManager

Catálogo Global LDAP

TCP

Aplicativos UC

Diretório externo

Superior a 1023

3268

Sincronização de diretório com o cliente LDAP

Catálogo Global LDAP

TCP

Aplicativos UC

Diretório externo

Superior a 1023

3269

Sincronização de diretório com o cliente LDAP

Serviço CAPF

TCP

Terminal

Unified CM

Superior a 1023

3804

Porta de escuta da Função de proxy da autoridade certificadora (CAPF) para a emissão de certificados significativos locais (LSC) para telefones IP

SIP

TCP

Terminal

Unified CM, CUCxn

Superior a 1023

5060

Sinalização de chamada

SIP

TCP

Unified CM

Unified CM, Gateway

Superior a 1023

5060

Sinalização de chamada

SIP (SEGURO)

TCP

Terminal

Unified CM

Superior a 1023

5061

Sinalização de chamada

SIP (SEGURO)

TCP

Unified CM

Unified CM, Gateway

Superior a 1023

5061

Sinalização de chamada

SIP (OAUTH)

TCP

Terminal

Unified CM

Superior a 1023

5090

Sinalização de chamada

XMPP

TCP

Cliente Jabber

Cisco IM&P

Superior a 1023

5222

Mensagens instantâneas e presença

HTTP

TCP

Terminal

Unified CM

Superior a 1023

6970

Baixando configurações e imagens para terminais

HTTPS

TCP

Terminal

Unified CM

Superior a 1023

6971

Baixando configurações e imagens para terminais

HTTPS

TCP

Terminal

Unified CM

Superior a 1023

6972

Baixando configurações e imagens para terminais

HTTP

TCP

Cliente Jabber

CUCxn

Superior a 1023

7080

Notificações de correio de voz

HTTPS

TCP

Cliente Jabber

CUCxn

Superior a 1023

7443

Notificações seguras de correio de voz

HTTPS

TCP

Unified CM

Unified CM

Superior a 1023

7501

Usado pelo Intercluster Lookup Service (ILS) para autenticação baseada em certificado

HTTPS

TCP

Unified CM

Unified CM

Superior a 1023

7502

Usado pelo ILS para autenticação baseada em senha

IMAP

TCP

Cliente Jabber

CUCxn

Superior a 1023

7993

IMAP sobre TLS

HTTP

TCP

Terminal

Unified CM

Superior a 1023

8080

URI do diretório para suporte a endpoint herdado

HTTPS

TCP

Navegador, extremidade

Aplicativos UC

Superior a 1023

8443

Acesso à Web para interfaces administrativas e de autoatendplicação, UDS

HTTPS

TCP

Telefone

Unified CM

Superior a 1023

9443

Pesquisa de contato autenticada

HTTPs

TCP

Terminal

Unified CM

Superior a 1023

9444

Recurso de gerenciamento do fone de ouvido

RTP/SRTP seguro

UDP

Unified CM

Telefone

16384 a 32767 *

16384 a 32767 *

Mídia (áudio) - Música em espera,Nunciador, Ponte de Conferência de Software (Aberto com base na sinalização de chamada)

RTP/SRTP seguro

UDP

Telefone

Unified CM

16384 a 32767 *

16384 a 32767 *

Mídia (áudio) - Música em espera,Nunciador, Ponte de Conferência de Software (Aberto com base na sinalização de chamada)

COBRAS

TCP

Cliente

CUCxn

Superior a 1023

20532

Fazer backup e restaurar o pacote de aplicativos

ICMP

ICMP

Terminal

Aplicativos UC

N/D

N/D

Ping

ICMP

ICMP

Aplicativos UC

Terminal

N/D

N/D

Ping

DNS UDP e TCP

encaminhador DNS

Servidores DNS de ocorrência dedicada

Superior a 1023

53

Encaminhadores DNS do local do cliente para servidores DNS de ocorrência dedicada. Consulte Requisitos DNS para obter mais informações.

* Alguns casos especiais podem usar uma maior variedade.

Ocorrência dedicada – Portas OTT

A seguinte porta pode ser usada por clientes e parceiros para configuração de acesso móvel e remoto (MRA):

Tabela 3. Porta para OTT

Protocolo

TCP/UCP

Source

Destino

Porta de origem

Porta de destino

Propósito

RTP SEGURO/RTCP

UDP

Expressway C

Cliente

Superior a 1023

36000-59999

Mídia segura para chamadas MRA e B2B

Tronco SIP entre vários locatários e ocorrência dedicada (apenas para tronco baseado em registro)

A seguinte lista de portas precisa ser permitida no firewall do cliente para o tronco SIP baseado em registro que conecta entre o Multilocatário e a Ocorrência dedicada.

Tabela 4. Porta para troncos baseados em registro

Protocolo

TCP/UCP

Source

Destino

Porta de origem

Porta de destino

Propósito

RTP/RTCP

UDP

Multilocatário do Webex Calling

Cliente

Superior a 1023

8000-48198

Mídia do multilocatário do Webex Calling

Ocorrência dedicada – portas UCCX

A seguinte lista de portas pode ser usada por clientes e parceiros para configurar o UCCX.

Tabela 5. Portas Cisco UCCX

Protocolo

TCP/UCP

Source

Destino

Porta de origem

Porta de destino

Propósito

Ssh

TCP

Cliente

UCCX

Superior a 1023

22

SFTP e SSH

Informix

TCP

Cliente ou servidor

UCCX

Superior a 1023

1504

porta do banco de dados do Contact Center Express

SIP

UDP e TCP

Servidor SIP GW ou MCRP

UCCX

Superior a 1023

5065

Comunicação ao GW e nós MCRP remotos

XMPP

TCP

Cliente

UCCX

Superior a 1023

5223

Conexão XMPP segura entre o servidor Finesse e aplicativos personalizados de terceiros

Cvd

TCP

Cliente

UCCX

Superior a 1023

6999

Editor para aplicativos CCX

HTTPS

TCP

Cliente

UCCX

Superior a 1023

7443

Conexão BOSH segura entre o servidor Finesse e os desktops do agente e do supervisor para comunicação em HTTPS

HTTP

TCP

Cliente

UCCX

Superior a 1023

8080

Clientes de relatórios de dados dinâmicos se conectam a um servidor socket.IO

HTTP

TCP

Cliente

UCCX

Superior a 1023

8081

Navegador do cliente tentando acessar a interface Cisco Unified Intelligence Center

HTTP

TCP

Cliente

UCCX

Superior a 1023

8443

GUI de administração, RTMT, acesso DB sobre SOAP

HTTPS

TCP

Cliente

UCCX

Superior a 1023

8444

Cisco Unified da web do Intelligence Center

HTTPS

TCP

Navegador e rest clientes

UCCX

Superior a 1023

8445

Porta segura para Finesse

HTTPS

TCP

Cliente

UCCX

Superior a 1023

8447

HTTPS - Ajuda on-line do Unified Intelligence Center

HTTPS

TCP

Cliente

UCCX

Superior a 1023

8553

Os componentes de registro único (SSO) acessam esta interface para saber o status operacional do Cisco IdS.

HTTP

TCP

Cliente

UCCX

Superior a 1023

9080

Os clientes tentando acessar acionar ou documentos HTTP/ prompts / gramáticas / dados ao vivo.

HTTPS

TCP

Cliente

UCCX

Superior a 1023

9443

Porta segura usada para responder aos clientes que tentam acessar acionamentos HTTPS

TCP

TCP

Cliente

UCCX

Superior a 1023

12014

Esta é a porta onde os clientes de relatórios de dados reais podem se conectar ao servidor socket.IO

TCP

TCP

Cliente

UCCX

Superior a 1023

12015

Esta é a porta onde os clientes de relatórios de dados reais podem se conectar ao servidor socket.IO

Cti

TCP

Cliente

UCCX

Superior a 1023

12028

Cliente CTI de terceiros para CCX

RTP (Mídia)

TCP

Terminal

UCCX

Superior a 1023

Superior a 1023

A porta de mídia é aberta dinamicamente, conforme necessário

RTP (Mídia)

TCP

Cliente

Terminal

Superior a 1023

Superior a 1023

A porta de mídia é aberta dinamicamente, conforme necessário

segurança do Cliente

Proteger o Jabber e o Webex com o SIP OAuth

Os clientes Jabber e Webex são autenticados através de um token OAuth em vez de um certificado localmente significativo (LSC), que não exige a aplicação de função de proxy da autoridade certificadora (CAPF) (também para MRA). O SIP OAuth funcionando com ou sem modo misto foi introduzido Cisco Unified CM 12.5(1), Jabber 12.5 e Expressway X12.5.

No Cisco Unified CM 12.5, temos uma nova opção no Perfil de segurança do telefone que permite criptografia sem LSC/CAPF, usando o único token OAuth Security (TLS) + Transport Layer Security no REGISTRO SIP. Expressway -C nós usam a API do Serviço da Web (AXL) XML administrativo para informar Cisco Unified CM do SN/SAN em seus certificados. Cisco Unified CM utiliza essas informações para validar o certificado Exp-C ao estabelecer uma conexão TLS mútuo conexão.

O SIP OAuth permite a criptografia de mídia e sinalização sem um certificado de ponto final (LSC).

O Cisco Jabber usa portas efêmeras e portas seguras 6971 e 6972 via conexão HTTPS com o servidor TFTP para baixar os arquivos de configuração. A porta 6970 é uma porta não segura para download via HTTP.

Mais detalhes sobre a configuração do SIP OAuth: Modo SIP OAuth .

Requisitos DNS

Para a Ocorrência dedicada, a Cisco fornece o FQDN para o serviço em cada região com o seguinte formato..wxc-di.webex.com por exemplo, xyz.amer.wxc-di.webex.com .

O valor 'cliente' é fornecido pelo administrador como parte do Assistente para configuração pela primeira vez (FTSW). Para obter mais informações, consulte Ativação do serviço de instância dedicada.

Os registros de DNS para FQDN precisam ser resolvidos a partir do servidor DNS interno do cliente para suportar dispositivos locais que se conectam à Ocorrência Dedicada. Para facilitar a resolução, o cliente precisa configurar um Encaminhamento Condicional, para este FQDN, no servidor DNS, apontando para o serviço DNS de Instância Dedicada. O serviço DNS da ocorrência dedicada é regional e pode ser alcançado, por meio do emparelhamento com a ocorrência dedicada, usando os seguintes endereços IP conforme mencionado na tabela abaixo Endereço IP de serviço DNS da ocorrência dedicada .

Tabela 6. Endereço de IP do serviço DNS de Instância Dedicada

Região/DC

Endereço de IP do serviço DNS de Instância Dedicada

Exemplo de encaminhamento condicional

AMER

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

UE

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

Ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Pecado

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

Syd

178.215.128.228

Reino Unido

<customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

HOMEM

178.215.135.228

A opção ping está desabilitada para os endereços de IP do servidor DNS mencionados acima por razões de segurança.

Até que o encaminhamento condicional seja realizado, os dispositivos não poderão se registrar na Ocorrência Dedicada da rede interna dos clientes através dos links de peering. O encaminhamento condicional não é necessário para registro via Mobile e Remote Access (MRA), pois todos os registros DNS externos necessários para facilitar o MRA serão pré-provisionados pela Cisco.

Ao usar o aplicativo Webex como seu cliente soft calling na Instância Dedicada, um Perfil do UC Manager precisa ser configurado no Control Hub para o Domínio de Serviço de Voz (VSD) de cada região. Para obter mais informações, consulte Perfis do UC Manager Cisco Webex Control Hub. O aplicativo Webex poderá resolver automaticamente o edge do Expressway do cliente sem nenhuma intervenção do usuário final.

O domínio do serviço de voz será fornecido ao cliente como parte do documento de acesso do parceiro assim que a ativação do serviço for concluída.

Usar um roteador local para resolução DNS do telefone

Para telefones que não têm acesso aos servidores DNS corporativos, é possível usar um roteador Cisco local para encaminhar solicitações DNS ao DNS em nuvem de Ocorrência dedicada. Isso remove a necessidade de implantar um servidor DNS local e fornece suporte DNS completo, incluindo cache.

Configuração de exemplo :

!

servidor ip dns

Nome IP-servidor

!

O uso do DNS neste modelo de implantação é específico para telefones e só pode ser usado para resolver FQDN com o domínio da Ocorrência dedicada dos clientes.

Resolução de DNS do telefone