Requisitos de rede para instância dedicada

Webex Calling Instância Dedicada é parte do portfólio da Cisco Cloud Calling, desenvolvido pela tecnologia de colaboração Cisco Unified Communications Manager (Cisco Unified CM). A Ocorrência Dedicada oferece soluções de voz, vídeo, mensagens e mobilidade com os recursos e benefícios de telefones IP da Cisco, dispositivos móveis e clientes de desktop que se conectam com segurança à Ocorrência Dedicada.

Este artigo é destinado aos administradores de rede, particularmente administradores de segurança de firewall e proxy que querem usar Instância Dedicada na organização. Este documento se concentra principalmente nos requisitos de rede e segurança da solução de Instância Dedicada, incluindo a abordagem em camadas para os recursos e funcionalidades que fornecem acesso físico seguro, uma rede segura, terminais seguros e aplicativos Cisco UC seguros.

Requisitos de certificado para conexões seguras em instância dedicada

Para Webex Calling Instância Dedicada, a Cisco fornecerá o domínio e assinará todos os certificados para os Aplicativos UC usando uma autoridade de certificação (CA) pública.

Instância dedicada – Números de portas e protocolos

As tabelas a seguir descrevem as portas e protocolos que são suportados em Instância Dedicada. As portas que são usadas para um determinado cliente depende da implantação e solução do cliente. Os protocolos depende das preferências do cliente (SCCP vs SIP), dos dispositivos locais existentes e de qual nível de segurança para determinar quais portas serão usadas em cada implantação.

Instância dedicada – Portas do cliente

As portas disponíveis para clientes - entre a premissa do cliente e a Instância dedicada é mostrada na Tabela 1 Portas do cliente de instânciadedicadas. Todas as portas listadas abaixo são para o tráfego do cliente que atravessa os links de peering.


A porta SNMP é suportada apenas para a funcionalidade CER e não para quaisquer outras ferramentas de monitoramento de terceiros.

Tabela 1. Portas do cliente de instância dedicadas

Protocolo

TCP/UCP

Origem

Destino

Porta de origem

Porta de destino

Objetivo

SSH

TCP

Cliente

Aplicativos UC

Superior a 1023

22

Administração

LDAP

TCP

Aplicativos UC

Diretório externo

Superior a 1023

389

Sincronização de diretório com o cliente LDAP

HTTPS

TCP

Navegador

Aplicativos UC

Superior a 1023

443

Acesso à Web para interfaces administrativas e de autoatendplicação

LDAP (SEGURO)

TCP

Aplicativos UC

Diretório externo

Superior a 1023

636

Sincronização de diretório com o cliente LDAP

SCCP

TCP

Terminal

Unified CM, CUCxn

Superior a 1023

2000

Sinalização de chamada

SCCP

TCP

Unified CM

Unified CM, Gateway

Superior a 1023

2000

Sinalização de chamada

SCCP (SEGURO)

TCP

Terminal

Unified CM, CUCxn

Superior a 1023

2443

Sinalização de chamada

SCCP (SEGURO)

TCP

Unified CM

Unified CM, Gateway

Superior a 1023

2443

Sinalização de chamada

Verificação de confiança

TCP

Terminal

Unified CM

Superior a 1023

2445

Fornecer serviço de verificação de confiança para os terminais

CTI

TCP

Terminal

Unified CM

Superior a 1023

2748

Conexão entre os aplicativos CTI (JTAPI/TSP) e CTIManager

CTI seguro

TCP

Terminal

Unified CM

Superior a 1023

2749

Conexão segura entre os aplicativos CTI (JTAPI/TSP) e o CTIManager

Catálogo Global LDAP

TCP

Aplicativos UC

Diretório externo

Superior a 1023

3268

Sincronização de diretório com o cliente LDAP

Catálogo Global LDAP

TCP

Aplicativos UC

Diretório externo

Superior a 1023

3269

Sincronização de diretório com o cliente LDAP

Serviço CAPF

TCP

Terminal

Unified CM

Superior a 1023

3804

Porta de escuta da Função de proxy da autoridade certificadora (CAPF) para a emissão de certificados significativos locais (LSC) para telefones IP

SIP

TCP

Terminal

Unified CM, CUCxn

Superior a 1023

5060

Sinalização de chamada

SIP

TCP

Unified CM

Unified CM, Gateway

Superior a 1023

5060

Sinalização de chamada

SIP (SEGURO)

TCP

Terminal

Unified CM

Superior a 1023

5061

Sinalização de chamada

SIP (SEGURO)

TCP

Unified CM

Unified CM, Gateway

Superior a 1023

5061

Sinalização de chamada

SIP (OAUTH)

TCP

Terminal

Unified CM

Superior a 1023

5090

Sinalização de chamada

XMPP

TCP

Cliente Jabber

Cisco IM&P

Superior a 1023

5222

Mensagens instantâneas e presença

HTTP

TCP

Terminal

Unified CM

Superior a 1023

6970

Baixando configurações e imagens para terminais

HTTPS

TCP

Terminal

Unified CM

Superior a 1023

6971

Baixando configurações e imagens para terminais

HTTPS

TCP

Terminal

Unified CM

Superior a 1023

6972

Baixando configurações e imagens para terminais

HTTP

TCP

Cliente Jabber

CUCxn

Superior a 1023

7080

Notificações de correio de voz

HTTPS

TCP

Cliente Jabber

CUCxn

Superior a 1023

7443

Notificações seguras de correio de voz

HTTPS

TCP

Unified CM

Unified CM

Superior a 1023

7501

Usado pelo Intercluster Lookup Service (ILS) para autenticação baseada em certificado

HTTPS

TCP

Unified CM

Unified CM

Superior a 1023

7502

Usado pelo ILS para autenticação baseada em senha

IMAP

TCP

Cliente Jabber

CUCxn

Superior a 1023

7993

IMAP sobre TLS

HTTPS

TCP

Navegador, extremidade

Aplicativos UC

Superior a 1023

8443

Acesso à Web para interfaces administrativas e de autoatendplicação, UDS

HTTPS

TCP

Prem

Unified CM

Superior a 1023

9443

Pesquisa de contato autenticada

RTP/SRTP seguro

UDP

Unified CM

Telefone

16384 a 32767 *

16384 a 32767 *

Mídia (áudio) - Música em espera,Nunciador, Ponte de Conferência de Software (Aberto com base na sinalização de chamada)

RTP/SRTP seguro

UDP

Telefone

Unified CM

16384 a 32767 *

16384 a 32767 *

Mídia (áudio) - Música em espera,Nunciador, Ponte de Conferência de Software (Aberto com base na sinalização de chamada)

ICMP

ICMP

Terminal

Aplicativos UC

n/a

n/a

Ping

ICMP

ICMP

Aplicativos UC

Terminal

n/a

n/a

Ping

* Alguns casos especiais podem usar uma maior variedade.

Ocorrência dedicada – Portas OTT

A seguinte lista de portas pode ser usada por clientes e parceiros para configuração Remote Access móvel (MRA):

Tabela 2. Lista de portas para OTT

Protocolo

TCP/UCP

Origem

Destino

Porta de origem

Porta de destino

Objetivo

SIP SEGURO

TCP

Terminal

Expressway E

Superior a 1023

5061

Sinalização SIP segura para registro MRA e chamadas

SIP SEGURO

TCP

Ponto final/Servidor

Expressway E

Superior a 1023

5062

SIP seguro para chamadas B2B

RTP SEGURO/RTCP

UDP

Ponto final/Servidor

Expressway E

Superior a 1023

36000-59999

Mídia segura para chamadas MRA e B2B

HTTPS (SEGURO)

TLS

Cliente

Expressway E

Superior a 1023

8443

CUCM UDS e CUCxn REST para chamadas MRA

XMLS

TLS

Cliente

Expressway E

Superior a 1023

5222

IM e Presence

GIRAR

UDP

Cliente ICE

Expressway E

Superior a 1023

3478

Negociação DE ICE/STUN/TURN

RTP SEGURO/RTCP

UPD

Cliente ICE

Expressway E

Superior a 1023

24000-29999

TURN media para fallback ICE

Ocorrência dedicada – Portas UCCX

A seguinte lista de portas pode ser usada por clientes e parceiros para configurar o UCCX.

Tabela 3. Portas Cisco UCCX

Protocolo

TCP/UCP

Origem

Destino

Porta de origem

Porta de destino

Objetivo

SSH

TCP

Cliente

UCCX

Superior a 1023

22

SFTP e SSH

Informix

TCP

Cliente ou servidor

UCCX

Superior a 1023

1504

Porta do banco de dados Unified CCX

SIP

UDP e TCP

Servidor SIP GW ou MCRP

UCCX

Superior a 1023

5065

Comunicação ao GW e nós MCRP remotos

XMPP

TCP

Cliente

UCCX

Superior a 1023

5223

Conexão XMPP segura entre o servidor Finesse e aplicativos personalizados de terceiros

CVD

TCP

Cliente

UCCX

Superior a 1023

6999

Editor para aplicativos CCX

HTTPS

TCP

Cliente

UCCX

Superior a 1023

7443

Conexão BOSH segura entre o servidor Finesse e os desktops do agente e do supervisor para comunicação em HTTPS

HTTP

TCP

Cliente

UCCX

Superior a 1023

8080

Os clientes de relatórios de dados ao vivo se conectam à tomada. Servidor IO

HTTP

TCP

Cliente

UCCX

Superior a 1023

8081

Navegador do cliente tentando acessar a interface Cisco Unified Intelligence Center

HTTP

TCP

Cliente

UCCX

Superior a 1023

8443

Gui do Administrador, RTMT, acesso DB via SOAP

HTTPS

TCP

Cliente

UCCX

Superior a 1023

8444

Cisco Unified da web do Intelligence Center

HTTPS

TCP

Navegador e rest clientes

UCCX

Superior a 1023

8445

Porta segura para Finesse

HTTPS

TCP

Cliente

UCCX

Superior a 1023

8447

HTTPS - Ajuda on-line do Unified Intelligence Center

HTTPS

TCP

Cliente

UCCX

Superior a 1023

8553

Os componentes de Single Sign-On (SSO) acessam esta interface para saber o status operacional do IdS da Cisco.

HTTP

TCP

Cliente

UCCX

Superior a 1023

9080

Os clientes tentando acessar acionar ou documentos HTTP/ prompts / gramáticas / dados ao vivo.

HTTPS

TCP

Cliente

UCCX

Superior a 1023

9443

Porta segura usada para responder aos clientes que tentam acessar acionamentos HTTPS

TCP

TCP

Cliente

UCCX

Superior a 1023

12014

Esta é a porta onde os clientes de relatórios de dados ao vivo podem se conectar à tomada. Servidor IO

TCP

TCP

Cliente

UCCX

Superior a 1023

12015

Esta é a porta onde os clientes de relatórios de dados ao vivo podem se conectar à tomada. Servidor IO

CTI

TCP

Cliente

UCCX

Superior a 1023

12028

Cliente CTI de terceiros para CCX

RTP (Mídia)

TCP

Terminal

UCCX

Superior a 1023

Superior a 1023

A porta de mídia é aberta dinamicamente, conforme necessário

RTP (Mídia)

TCP

Cliente

Terminal

Superior a 1023

Superior a 1023

A porta de mídia é aberta dinamicamente, conforme necessário

Segurança do cliente

Proteger o Jabber e o Webex com o SIP OAuth

Os clientes Jabber e Webex são autenticados através de um token OAuth em vez de um certificado localmente significativo (LSC), que não exige a aplicação de função de proxy da autoridade certificadora (CAPF) (também para MRA). O SIP OAuth funcionando com ou sem modo misto foi introduzido Cisco Unified CM 12.5(1), Jabber 12.5 e Expressway X12.5.

No Cisco Unified CM 12.5, temos uma nova opção no Perfil de segurança do telefone que permite criptografia sem LSC/CAPF, usando o único token OAuth Security (TLS) + Transport Layer Security no REGISTRO SIP. Expressway -C nós usam a API do Serviço da Web (AXL) XML administrativo para informar Cisco Unified CM do SN/SAN em seus certificados. Cisco Unified CM usa essas informações para validar o certificado Exp-C ao estabelecer uma conexão TLS mútuo conexão.

O SIP OAuth permite a criptografia de mídia e sinalização sem um certificado de ponto final (LSC).

O Cisco Jabber usa portas efêmeras e portas seguras 6971 e 6972 via conexão HTTPS com o servidor TFTP para baixar os arquivos de configuração. A porta 6970 é uma porta não segura para download via HTTP.

Mais detalhes sobre a configuração do SIP OAuth: Modo OAuth SIP.

Requisitos de DNS

Para instância dedicada, a Cisco fornece o FQDN para o serviço em cada região com o seguinte formato <customer><region>. wxc-di.webex.com exemplo, xyz.amer.wxc-di.webex.com.

O valor 'cliente' é fornecido pelo administrador como parte do Assistente para configuração pela primeira vez (FTSW). Para obter mais informações, consulte Ativação do serviço de instância dedicada.

Os registros DE DNS para FQDN devem ser resolvidos a partir do servidor DNS interno do cliente para suportar dispositivos locais que se conectam à Ocorrência Dedicada. Para facilitar a resolução, o cliente precisa configurar um Encaminhamento Condicional, para este FQDN, no servidor DNS, apontando para o serviço DNS de Instância Dedicada. O serviço DNS de Instância Dedicada é regional e pode ser alcançado, através do peering para Instância Dedicada, usando os seguintes endereços IP como mencionado na tabela abaixo Endereço de IP do serviço DNS de Instância Dedicada.

Tabela 4. Endereço de IP do serviço DNS de Instância Dedicada

Região/DC

Endereço de IP do serviço DNS de Instância Dedicada

Exemplo de encaminhamento condicional

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

PECADO

103.232.71.288

Até que o encaminhamento condicional seja realizado, os dispositivos não poderão se registrar na Ocorrência Dedicada da rede interna dos clientes através dos links de peering. O encaminhamento condicional não é necessário para registro via Mobile e Remote Access (MRA), pois todos os registros DNS externos necessários para facilitar o MRA serão pré-provisionados pela Cisco.

Ao usar o aplicativo Webex como seu cliente soft calling na Instância Dedicada, um Perfil do UC Manager precisa ser configurado no Control Hub para o Domínio de Serviço de Voz (VSD) de cada região. Para obter mais informações, consulte Perfis do UC Manager no Cisco Webex Control Hub. O aplicativo Webex poderá resolver automaticamente o edge do Expressway do cliente sem nenhuma intervenção do usuário final.


O domínio do serviço de voz será fornecido ao cliente como parte do documento de acesso do parceiro assim que a ativação do serviço for concluída.

Referências