Cerințe de rețea pentru Instanța dedicată

Webex Calling Dedicated Instance face parte din portofoliul Cisco Cloud Calling, susținut de tehnologia de colaborare Cisco Unified Communications Manager (Cisco Unified CM). Instanța dedicată oferă soluții de voce, video, mesagerie și mobilitate cu caracteristicile și beneficiile telefoanelor IP Cisco, ale dispozitivelor mobile și ale clienților desktop care se conectează în siguranță la instanța dedicată.

Acest articol este destinat administratorilor de rețea, în special administratorilor de securitate paravan de protecție și proxy care doresc să utilizeze instanță dedicată în cadrul organizației lor.

Prezentare generală securitate: Securitate în straturi

Instanță dedicată utilizează o abordare stratificată pentru securitate. Straturile includ:

  • Acces fizic

  • Rețea

  • Puncte finale

  • Aplicații UC

Următoarele secțiuni descriu straturile tematice de securitate din implementările de instanțe dedicate.

Securitate fizică

Este important să oferiți securitate fizică locațiilor Equinix Meet-Me Room și facilităților Cisco Dedicated Instance Data Center. Atunci când securitatea fizică este compromisă, pot fi inițiate atacuri simple, cum ar fi întreruperea serviciului prin închiderea alimentării cu energie electrică a comutatoarelor unui client. Cu acces fizic, atacatorii ar putea avea acces la dispozitivele serverului, ar putea reseta parolele și ar putea avea acces la comutatoare. Accesul fizic facilitează, de asemenea, atacuri mai sofisticate, cum ar fi atacurile man-in-the-middle, motiv pentru care al doilea nivel de securitate, securitatea rețelei, este esențial.

Unitățile cu autocriptare sunt utilizate în centrele de date de instanță dedicate care găzduiesc aplicații UC.

Pentru mai multe informații despre practicile generale de securitate, consultați documentația de la următoarea locație: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Securitate rețea

Partenerii trebuie să se asigure că toate elementele de rețea sunt securizate în infrastructura instanței dedicate (care se conectează prin Equinix). Este responsabilitatea partenerului să asigure cele mai bune practici de securitate, cum ar fi:

  • VLAN separat pentru voce și date

  • Activați Port Security, care limitează numărul de adrese MAC permise per port, împotriva inundării tabelului CAM

  • Protecție sursă IP împotriva adreselor IP falsificate

  • Dynamic ARP Inspection (DAI) examinează protocolul de rezolvare a adreselor (ARP) și ARP gratuit (GARP) pentru încălcări (împotriva falsificării ARP)

  • 802.1x limitează accesul la rețea pentru autentificarea dispozitivelor pe VLAN-urile atribuite (telefoanele acceptă 802.1x)

  • Configurarea calității serviciului (QoS) pentru marcarea corespunzătoare a pachetelor de voce

  • Configurații de porturi firewall pentru blocarea oricărui alt trafic

Securitatea punctelor finale

Punctele finale Cisco acceptă caracteristici de securitate implicite, cum ar fi firmware-ul semnat, încărcarea securizată (modelele selectate), certificatul instalat de producător (MIC) și fișierele de configurare semnate, care oferă un anumit nivel de securitate pentru stațiile de lucru.

În plus, un partener sau un client poate activa o securitate suplimentară, cum ar fi:

  • Criptarea serviciilor de telefonie IP (prin HTTPS) pentru servicii precum Mobilitatea prin extensie

  • Eliberarea certificatelor semnificative la nivel local (LSC) de la funcția proxy a autorității de certificare (CAPF) sau de la o autoritate publică de certificare (CA)

  • Criptarea fișierelor de configurare

  • Criptarea suporturilor media și semnalizarea

  • Dezactivați aceste setări dacă nu sunt utilizate: Port PC, PC Voice VLAN Access, ARP gratuit, Acces Web, buton Setări, SSH, consolă

Implementarea mecanismelor de securitate în instanța dedicată previne furtul de identitate al telefoanelor și al serverului CM unificat, manipularea datelor și semnalizarea apelurilor / manipularea fluxului media.

Instanță dedicată prin rețea:

  • Stabilește și menține fluxurile de comunicare autentificate

  • Semnează digital fișierele înainte de a transfera fișierul pe telefon

  • Criptează fluxurile media și semnalizarea apelurilor între telefoanele IP unificate Cisco

Configurare de securitate implicită

Securitatea în mod implicit oferă următoarele caracteristici de securitate automată pentru telefoanele IP Cisco Unified:

  • Semnarea fișierelor de configurare a telefonului

  • Suport pentru criptarea fișierelor de configurare a telefonului

  • HTTPS cu Tomcat și alte servicii Web (MIDlets)

Pentru Unified CM Release 8.0 mai târziu, aceste caracteristici de securitate sunt furnizate în mod implicit fără a executa clientul Listă de încredere certificat (CTL).

Serviciu de verificare a încrederii

Deoarece există un număr mare de telefoane într-o rețea și telefoanele IP au memorie limitată, Cisco Unified CM acționează ca un magazin de încredere la distanță prin serviciul de verificare a încrederii (TVS), astfel încât un magazin de încredere certificat nu trebuie să fie plasat pe fiecare telefon. Telefoanele IP Cisco contactează serverul TVS pentru verificare, deoarece nu pot verifica o semnătură sau un certificat prin fișiere CTL sau ITL. Având un magazin central de încredere este mai ușor de gestionat decât având magazin de încredere pe fiecare telefon Cisco Unified IP.

TVS permite telefoanelor CISCO Unified IP să autentifice serverele de aplicații, cum ar fi serviciile EM, directorul și MIDlet, în timpul înființării HTTPS.

Listă inițială de încredere

Fișierul Listă de încredere inițială (ITL) este utilizat pentru securitatea inițială, astfel încât punctele finale să poată avea încredere în Cisco Unified CM. ITL nu are nevoie de caracteristici de securitate pentru a fi activat în mod explicit. Fișierul ITL este creat automat atunci când clusterul este instalat. Cheia privată a serverului Unified CM Trivial File Transfer Protocol (TFTP) este utilizată pentru a semna fișierul ITL.

Când clusterul sau serverul Cisco Unified CM este în modul non-securizat, fișierul ITL este descărcat pe fiecare telefon CISCO IP acceptat. Un partener poate vizualiza conținutul unui fișier ITL utilizând comanda CLI, admin:show itl.

Telefoanele IP Cisco au nevoie de fișierul ITL pentru a efectua următoarele sarcini:

  • Comunicați în siguranță la CAPF, o condiție prealabilă pentru a sprijini criptarea fișierelor de configurare

  • Autentificarea semnăturii fișierului de configurare

  • Autentificarea serverelor de aplicații, cum ar fi serviciile EM, directorul și MIDlet în timpul înființării HTTPS utilizând TVS

Cisco CTL

Autentificarea dispozitivului, a fișierelor și a semnalizării se bazează pe crearea fișierului Listă de autorizare a certificatelor (CTL), care este creat atunci când partenerul sau clientul instalează și configurează Clientul Listă de încredere a certificatelor Cisco.

Fișierul CTL conține intrări pentru următoarele servere sau simboluri de securitate:

  • Simbol de securitate administrator de sistem (SAST)

  • Cisco CallManager și Cisco TFTP servicii care se execută pe același server

  • Funcția proxy a autorității de certificare (CAPF)

  • Server(e) TFTP

  • Firewall ASA

Fișierul CTL conține un certificat de server, cheie publică, număr de serie, semnătură, numele emitentului, numele subiectului, funcția serverului, numele DNS și adresa IP pentru fiecare server.

Securitatea telefonului cu CTL oferă următoarele funcții:

  • Autentificarea fișierelor descărcate TFTP (configurare, setări regionale, listă de apel și așa mai departe) utilizând o cheie de semnare

  • Criptarea fișierelor de configurare TFTP utilizând o cheie de semnare

  • Semnalizarea criptată a apelurilor pentru telefoanele IP

  • Sunet criptat de apel (media) pentru telefoane IP

Securitate pentru telefoanele Cisco IP în instanța dedicată

Instanța dedicată oferă înregistrarea punctelor finale și procesarea apelurilor. Semnalizarea dintre Cisco Unified CM și endpoint-urile se bazează pe Secure Skinny Client Control Protocol (SCCP) sau Session Initiation Protocol (SIP) și poate fi criptată utilizând Transport Layer Security (TLS). Suportul media de la/la punctele finale se bazează pe Protocolul de transport în timp real (RTP) și poate fi, de asemenea, criptat folosind Secure RTP (SRTP).

Activarea modului mixt pe Unified CM permite criptarea semnalizării și a traficului media de la și către punctele finale Cisco.

Aplicații UC securizate

Activarea modului mixt în instanța dedicată

Modul mixt este activat în mod implicit în Instanța dedicată.

Activarea modului mixt în instanță dedicată permite capacitatea de a efectua criptarea semnalizării și a traficului media de la și către punctele finale Cisco.

În Cisco Unified CM lansarea 12.5 (1), o nouă opțiune pentru a permite criptarea de semnalizare și mass-media bazate pe SIP OAuth în loc de modul mixt / CTL a fost adăugat pentru clienții Jabber și Webex. De aceea, în versiunea UNIFICAT CM 12.5(1), SIP OAuth și SRTP pot fi utilizate pentru a permite criptarea pentru semnalizare și media pentru clienții Jabber sau Webex. Activarea modului mixt continuă să fie necesară pentru telefoanele IP Cisco și alte puncte finale Cisco în acest moment. Există un plan pentru a adăuga suport pentru SIP OAuth în 7800/8800 puncte finale într-o versiune viitoare.

Securitatea mesageriei vocale

Cisco Unity Connection se conectează la Unified CM prin portul TLS. Când modul de securitate al dispozitivului nu este securizat, Cisco Unity Connection se conectează la Unified CM prin portul SCCP.

Pentru a configura securitatea pentru porturile de mesagerie vocală Unified CM și dispozitivele Cisco Unity care execută sccp sau Cisco Unity Connection dispozitive care execută SCCP, un partener poate alege un mod de securitate dispozitiv securizat pentru port. Dacă alegeți un port de poștă vocală autentificat, se deschide o conexiune TLS, care autentifică dispozitivele utilizând un schimb de certificate reciproce (fiecare dispozitiv acceptă certificatul celuilalt dispozitiv). Dacă alegeți un port de poștă vocală criptat, sistemul autentifică mai întâi dispozitivele și apoi trimite fluxuri vocale criptate între dispozitive.

Pentru mai multe informații despre porturile de mesagerie vocală de securitate, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Securitate pentru SRST, Trunchiuri, Gateway-uri, CUBE/SBC

Un gateway cisco unified Survivable Remote Site Telephony (SRST) activat oferă sarcini limitate de procesare a apelurilor în cazul în care Cisco Unified CM pe instanță dedicată nu poate finaliza apelul.

Gateway-urile securizate compatibile SRST conțin un certificat autosemnat. După ce un partener efectuează activități de configurare SRST în Administrare CM unificată, UNIFIED CM utilizează o conexiune TLS pentru autentificarea cu serviciul furnizor de certificate în gateway-ul srst activat. CM unificat apoi preia certificatul din gateway-ul srst activat și adaugă certificatul la baza de date UNIFIED CM.

După ce partenerul reinițializează dispozitivele dependente în Administrare CM unificată, serverul TFTP adaugă certificatul gateway srst activat la fișierul cnf.xml telefon și trimite fișierul la telefon. Un telefon securizat utilizează apoi o conexiune TLS pentru a interacționa cu gateway-ul activat srst.

Se recomandă să aibă trunchiuri sigure pentru apelul care provine de la Cisco Unified CM la gateway-ul pentru apeluri PSTN de ieșire sau traversarea prin Cisco Unified Border Element (CUBE).

Trunchiurile SIP pot suporta apeluri securizate atât pentru semnalizare, cât și pentru mass-media; TLS oferă criptare de semnalizare și SRTP oferă criptare media.

Securizarea comunicațiilor între Cisco Unified CM și CUBE

Pentru comunicații securizate între Cisco Unified CM și CUBE, partenerii/clienții trebuie să utilizeze certificate autosemnate sau certificate semnate CA.

Pentru certificatele autosemnate:

  1. CUBE și Cisco Unified CM generează certificate auto-semnate

  2. CUBE exportă certificatul către Cisco Unified CM

  3. Cisco Unified CM exportă certificat la CUBE

Pentru certificatele semnate CA:

  1. Clientul generează o pereche de chei și trimite o solicitare de semnare a certificatului (CSR) la autoritatea de certificare (CA)

  2. CA îl semnează cu cheia sa privată, creând un certificat de identitate

  3. Clientul instalează lista de certificate rădăcină și intermediar CA de încredere și certificatul de identitate

Securitate pentru terminalele la distanță

Cu punctele finale de acces mobil și la distanță (MRA), semnalizarea și suportul media sunt întotdeauna criptate între punctele finale MRA și nodurile Expressway. Dacă protocolul Interactive Connectivity Establishment (ICE) este utilizat pentru punctele finale MRA, este necesară semnalizarea și criptarea media a punctelor finale MRA. Cu toate acestea, criptarea semnalizării și a conținutului media între Expressway-C și serverele cm unificate interne, punctele finale interne sau alte dispozitive interne necesită modul mixt sau SIP OAuth.

Cisco Expressway oferă suport securizat pentru traversarea firewall-ului și pe partea de linie pentru înregistrările CM unificate. CM unificat oferă control al apelurilor atât pentru punctele finale mobile, cât și pentru cele locale. Semnalizarea traversează soluția Expressway între punctul final de la distanță și CM unificat. Media traversează soluția Expressway și este transmisă direct între punctele finale. Toate suporturile media sunt criptate între Expressway-C și punctul final mobil.

Orice soluție MRA necesită Expressway și Unified CM, cu clienți soft compatibili cu MRA și/sau puncte finale fixe. Soluția poate include opțional serviciul im și prezență și conexiunea unitate.

Rezumatul protocolului

Următorul tabel afișează protocoalele și serviciile asociate utilizate în soluția CM unificat.

Tabelul 1. Protocoale și servicii asociate

Protocol

Securitate

Serviciu

SIP

TLS

Stabilirea sesiunii: Înregistrați-vă, invitați etc.

HTTPS

TLS

Log on, Provisioning/Configuration, Directory, Visual Voicemail

Media

SRTP

Media: Audio, video, partajare de conținut

XMPP

TLS

Mesagerie instant, prezență, federație

Pentru mai multe informații despre configurația MRA, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opțiuni de configurare

Instanța dedicată oferă partenerului flexibilitatea de a personaliza serviciile pentru utilizatorii finali prin controlul deplin al configurațiilor din ziua a doua. Ca urmare, Partenerul este singurul responsabil pentru configurarea corectă a serviciului Instanță dedicată pentru mediul utilizatorului final. Aceasta include, dar fără a se limita la:

  • Alegerea apelurilor securizate/ne-securizate, a protocoalelor securizate/nesigure, cum ar fi SIP/sSIP, http/https etc. și înțelegerea oricăror riscuri asociate.

  • Pentru toate adresele MAC care nu sunt configurate ca SECURE-SIP în instanță dedicată, un atacator poate trimite mesaj sip registru folosind acea adresă MAC și să poată efectua apeluri SIP, ceea ce duce la frauda de taxare rutieră. Perquisite-ul este că atacatorul își poate înregistra dispozitivul/software-ul SIP la Instanță dedicată fără autorizație dacă cunoaște adresa MAC a unui dispozitiv înregistrat în Instanță dedicată.

  • Politicile de apel expressway-E, regulile de transformare și de căutare ar trebui să fie configurate pentru a preveni frauda cu taxă. Pentru mai multe informații despre prevenirea fraudelor cu taxă folosind Drumuri expres, consultați secțiunea Securitate pentru Autostradă C și Expressway-E a colaborării SRND.

  • Configurarea planului de apelare pentru a se asigura că utilizatorii pot apela numai destinațiile care sunt permise, de exemplu, pot interzice apelarea națională/internațională, apelurile de urgență sunt rutate corect etc. Pentru mai multe informații despre aplicarea restricțiilor utilizând planul de apelare, consultați secțiunea Plan de apelare din SRND pentru colaborare.

Cerințele certificatului pentru conexiuni securizate în instanța dedicată

Pentru instanță dedicată, Cisco va furniza domeniul și va semna toate certificatele pentru aplicațiile UC utilizând o autoritate publică de certificare (CA).

Instanță dedicată – numere de port și protocoale

Următoarele tabele descriu porturile și protocoalele acceptate în instanță dedicată. Porturile care sunt utilizate pentru un anumit client depinde de implementarea și soluția clientului. Protocoalele depind de preferințele clientului (SCCP vs SIP), de dispozitivele locale existente și de nivelul de securitate pentru a determina ce porturi vor fi utilizate în fiecare implementare.

Instanța dedicată nu permite traducerea adresei de rețea (NAT) între punctele finale și Unified CM, deoarece unele dintre funcțiile fluxului de apeluri nu vor funcționa, de exemplu, caracteristica din timpul apelului.

Instanță dedicată – Porturi pentru clienți

Porturile disponibile pentru clienți - între instanța locală a clientului și instanța dedicată este afișată în tabelul 1 Porturidedicate instanței pentru clienți. Toate porturile enumerate mai jos sunt pentru traficul clientului care traversează link-urile de peering.

Portul SNMP este deschis în mod implicit numai pentru Cisco Emergency Responder care îi acceptă funcționalitatea. Deoarece nu acceptăm partenerii sau clienții să monitorizeze aplicațiile UC implementate în cloudul Instanță dedicată, nu permitem deschiderea portului SNMP pentru nicio altă aplicație UC.

Porturile din intervalul 5063 - 5080 sunt rezervate de Cisco pentru alte integrări în cloud. Se recomandă ca administratorii partenerilor sau clienților să nu utilizeze aceste porturi în configurațiile lor.

Tabelul 2. Porturi client pentru instanță dedicată

Protocol

TCP/UDP

Sursă

Destinație

Port sursă

Port de destinație

Scop

SSH

TCP

Client

Aplicații UC

Nu este permisă pentru aplicațiile Cisco Expressway.

Mai mare de 1023

22

Administrare

Tftp (dezambiguizare)

UDP

Terminal

Unified CM

Mai mare de 1023

69

Compatibilitate cu terminale moștenite

LDAP

TCP

Aplicații UC

Director extern

Mai mare de 1023

389

Sincronizare director cu LDAP client

HTTPS

TCP

Browser

Aplicații UC

Mai mare de 1023

443

Acces web pentru auto-îngrijire și interfețe administrative

Outbound Mail (SECURE)

TCP

Aplicația UC

CUCxn

Mai mare de 1023

587

Utilizat pentru a compune și a trimite mesaje securizate către orice destinatari desemnați

LDAP (SECURIZAT)

TCP

Aplicații UC

Director extern

Mai mare de 1023

636

Sincronizare director cu LDAP client

H323

TCP

Gateway

Unified CM

Mai mare de 1023

1720

Semnalizarea apelurilor

H323

TCP

Unified CM

Unified CM

Mai mare de 1023

1720

Semnalizarea apelurilor

SCCP

TCP

Terminal

CM unificat, CUCxn

Mai mare de 1023

2000

Semnalizarea apelurilor

SCCP

TCP

Unified CM

CM unificat, Gateway

Mai mare de 1023

2000

Semnalizarea apelurilor

mgcp (dezambiguizare)

UDP

Gateway

Gateway

Mai mare de 1023

2427

Semnalizarea apelurilor

MGCP Backhaul

TCP

Gateway

Unified CM

Mai mare de 1023

2428

Semnalizarea apelurilor

SCCP (SECURE)

TCP

Terminal

CM unificat, CUCxn

Mai mare de 1023

2443

Semnalizarea apelurilor

SCCP (SECURE)

TCP

Unified CM

CM unificat, Gateway

Mai mare de 1023

2443

Semnalizarea apelurilor

Verificarea încrederii

TCP

Terminal

Unified CM

Mai mare de 1023

2445

Furnizarea de servicii de verificare a încrederii pentru punctele finale

CTI

TCP

Terminal

Unified CM

Mai mare de 1023

2748

Conexiunea dintre aplicațiile CTI (JTAPI/TSP) și CTIManager

CTI securizat

TCP

Terminal

Unified CM

Mai mare de 1023

2749

Conexiune securizată între aplicațiile CTI (JTAPI/TSP) și CTIManager

LDAP Global Catalog

TCP

Aplicații UC

Director extern

Mai mare de 1023

3268

Sincronizare director cu LDAP client

LDAP Global Catalog

TCP

Aplicații UC

Director extern

Mai mare de 1023

3269

Sincronizare director cu LDAP client

Serviciul CAPF

TCP

Terminal

Unified CM

Mai mare de 1023

3804

Port de ascultare pentru funcția proxy de autoritate de certificare (CAPF) pentru eliberarea certificatelor semnificative local (LSC) pentru telefoanele IP

SIP

TCP

Terminal

CM unificat, CUCxn

Mai mare de 1023

5060

Semnalizarea apelurilor

SIP

TCP

Unified CM

CM unificat, Gateway

Mai mare de 1023

5060

Semnalizarea apelurilor

SIP (SECURE)

TCP

Terminal

Unified CM

Mai mare de 1023

5061

Semnalizarea apelurilor

SIP (SECURE)

TCP

Unified CM

CM unificat, Gateway

Mai mare de 1023

5061

Semnalizarea apelurilor

SIP (OAUTH)

TCP

Terminal

Unified CM

Mai mare de 1023

5090

Semnalizarea apelurilor

XMPP

TCP

Jabber Client

Cisco IM &P

Mai mare de 1023

5222

Mesagerie instant și prezență

HTTP

TCP

Terminal

Unified CM

Mai mare de 1023

6970

Descărcarea configurației și a imaginilor pe puncte finale

HTTPS

TCP

Terminal

Unified CM

Mai mare de 1023

6971

Descărcarea configurației și a imaginilor pe puncte finale

HTTPS

TCP

Terminal

Unified CM

Mai mare de 1023

6972

Descărcarea configurației și a imaginilor pe puncte finale

HTTP

TCP

Jabber Client

CUCxn

Mai mare de 1023

7080

Notificări prin poștă vocală

HTTPS

TCP

Jabber Client

CUCxn

Mai mare de 1023

7443

Notificări securizate prin poștă vocală

HTTPS

TCP

Unified CM

Unified CM

Mai mare de 1023

7501

Utilizat de Intercluster Lookup Service (ILS) pentru autentificarea bazată pe certificat

HTTPS

TCP

Unified CM

Unified CM

Mai mare de 1023

7502

Utilizat de ILS pentru autentificarea bazată pe parolă

IMAP

TCP

Jabber Client

CUCxn

Mai mare de 1023

7993

IMAP prin TLS

HTTP

TCP

Terminal

Unified CM

Mai mare de 1023

8080

URI director pentru asistență terminal moștenită

HTTPS

TCP

Browser, Punct final

Aplicații UC

Mai mare de 1023

8443

Acces web pentru auto-îngrijire și interfețe administrative, UDS

HTTPS

TCP

Telefon

Unified CM

Mai mare de 1023

9443

Căutare persoană de contact autentificată

HTTP-uri

TCP

Terminal

Unified CM

Mai mare de 1023

9444

Funcția de gestionare a căștilor

RTP/SRTP securizat

UDP

Unified CM

Telefon

16384 - 32767 *

16384 - 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (deschis pe baza semnalizării apelurilor)

RTP/SRTP securizat

UDP

Telefon

Unified CM

16384 - 32767 *

16384 - 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (deschis pe baza semnalizării apelurilor)

Cobră

TCP

Client

CUCxn

Mai mare de 1023

20532

Copiați de rezervă și restaurați suita de aplicații

ICMP

ICMP

Terminal

Aplicații UC

nu este cazul

nu este cazul

Ping

ICMP

ICMP

Aplicații UC

Terminal

nu este cazul

nu este cazul

Ping

DNS UDP și TCP

Redirecționare DNS

Servere DNS de instanță dedicată

Mai mare de 1023

53

Redirecționatori DNS de la nivel local pentru servere DNS de instanță dedicată. Consultați Cerințe DNS pentru mai multe informații.

* Anumite cazuri speciale pot folosi o gamă mai mare.

Instanță dedicată – porturi OTT

Următorul port poate fi utilizat de clienți și parteneri pentru configurarea Mobile and Remote Access (MRA):

Tabelul 3. Port pentru OTT

Protocol

TCP/UCP

Sursă

Destinație

Port sursă

Port de destinație

Scop

RTP/RTCP SECURIZAT

UDP

Expressway C

Client

Mai mare de 1023

36000-59999

Media securizată pentru apeluri MRA și B2B

Trunchi SIP inter-op între multitenant și instanța dedicată (numai pentru trunchiul bazat pe înscriere)

Următoarea listă de porturi trebuie să fie permisă pe firewall-ul clientului pentru trunchiul SIP bazat pe înregistrare care face legătura între multitenant și instanța dedicată.

Tabelul 4. Port pentru trunchiuri pe bază de înregistrare

Protocol

TCP/UCP

Sursă

Destinație

Port sursă

Port de destinație

Scop

rtp/rtcp

UDP

Multitenant pentru Webex Calling

Client

Mai mare de 1023

8000-48198

Conținut media din Multitenantul Webex Calling

Instanță dedicată – porturi UCCX

Următoarea listă de porturi poate fi utilizată de clienți și parteneri pentru configurarea UCCX.

Tabelul 5. Porturi Cisco UCCX

Protocol

TCP / UCP

Sursă

Destinație

Port sursă

Port de destinație

Scop

SSH

TCP

Client

UCCX

Mai mare de 1023

22

SFTP și SSH

Informix

TCP

Client sau server

UCCX

Mai mare de 1023

1504

Portul bazei de date Contact Center Express

SIP

UDP și TCP

Server SIP GW sau MCRP

UCCX

Mai mare de 1023

5065

Comunicarea cu nodurile GW și MCRP la distanță

XMPP

TCP

Client

UCCX

Mai mare de 1023

5223

Conexiune XMPP securizată între serverul Finesse și aplicații terțe particularizate

DVC

TCP

Client

UCCX

Mai mare de 1023

6999

Editor la aplicațiile CCX

HTTPS

TCP

Client

UCCX

Mai mare de 1023

7443

Conexiune BOSH securizată între serverul Finesse și desktop-urile agentului și supraveghetorului pentru comunicare prin HTTPS

HTTP

TCP

Client

UCCX

Mai mare de 1023

8080

Clienții de raportare a datelor live se conectează la un server socket.IO

HTTP

TCP

Client

UCCX

Mai mare de 1023

8081

Browser client care încearcă să acceseze interfața web Cisco Unified Intelligence Center

HTTP

TCP

Client

UCCX

Mai mare de 1023

8443

Interfață grafică pentru administratori, RTMT, acces DB prin SOAP

HTTPS

TCP

Client

UCCX

Mai mare de 1023

8444

Interfața web Cisco Unified Intelligence Center

HTTPS

TCP

Clienții browserului și restului

UCCX

Mai mare de 1023

8445

Port securizat pentru Finesse

HTTPS

TCP

Client

UCCX

Mai mare de 1023

8447

HTTPS - Ajutor online pentru Unified Intelligence Center

HTTPS

TCP

Client

UCCX

Mai mare de 1023

8553

Componentele de conectare unică (SSO) accesează această interfață pentru a afla starea de funcționare a Cisco IdS.

HTTP

TCP

Client

UCCX

Mai mare de 1023

9080

Clienții care încearcă să acceseze declanșatoare HTTP sau documente / solicitări / gramatici / date live.

HTTPS

TCP

Client

UCCX

Mai mare de 1023

9443

Port securizat utilizat pentru a răspunde clienților care încearcă să acceseze declanșatoare HTTPS

TCP

TCP

Client

UCCX

Mai mare de 1023

12014

Acesta este portul unde clienții de raportare a datelor live se pot conecta la serverul socket.IO

TCP

TCP

Client

UCCX

Mai mare de 1023

12015

Acesta este portul unde clienții de raportare a datelor live se pot conecta la serverul socket.IO

CTI

TCP

Client

UCCX

Mai mare de 1023

12028

Client CTI terț către CCX

RTP(Media)

TCP

Terminal

UCCX

Mai mare de 1023

Mai mare de 1023

Portul media este deschis dinamic, după cum este necesar

RTP(Media)

TCP

Client

Terminal

Mai mare de 1023

Mai mare de 1023

Portul media este deschis dinamic, după cum este necesar

Securitate client

Securizarea Jabber și Webex cu SIP OAuth

Clienții Jabber și Webex sunt autentificați printr-un simbol OAuth în loc de un certificat semnificativ local (LSC), care nu necesită activarea funcției proxy de autoritate certificat (CAPF) (și pentru MRA). SIP OAuth de lucru cu sau fără modul mixt a fost introdus în Cisco Unified CM 12.5 (1), Jabber 12.5, și Expressway X12.5.

În Cisco Unified CM 12.5, avem o nouă opțiune în profilul de securitate telefon care permite criptarea fără LSC / CAPF, folosind un singur transport layer security (TLS) + OAuth token în SIP REGISTER. Nodurile Expressway-C utilizează API-ul Administrative XML Web Service (AXL) pentru a informa Cisco Unified CM despre SN/SAN în certificatul lor. Cisco Unified CM utilizează aceste informații pentru a valida cert Exp-C atunci când se stabilește o conexiune TLS reciprocă.

SIP OAuth permite criptarea media și semnalizare fără un certificat de punct final (LSC).

Cisco Jabber utilizează porturi Efemere și porturi securizate 6971 și 6972 porturi prin conexiune HTTPS la serverul TFTP pentru a descărca fișierele de configurare. Portul 6970 este un port non-securizat pentru descărcare prin HTTP.

Mai multe detalii despre configurația SIP OAuth: Modul SIP OAuth.

cerințe DNS

Pentru instanța dedicată, Cisco furnizează FQDN-ul pentru serviciu din fiecare regiune cu următorul format ..wxc-di.webex.com , de exemplu, xyz.amer.wxc-di.webex.com.

Valoarea "client" este furnizată de administrator ca parte a Expertului de instalare pentru prima dată (FTSW). Pentru mai multe informații, consultați Activarea serviciului de instanță dedicată.

Înregistrările DNS pentru acest FQDN trebuie să poată fi rezolvate de pe serverul DNS intern al clientului pentru a accepta dispozitivele locale care se conectează la instanța dedicată. Pentru a facilita rezolvarea, clientul trebuie să configurați un expeditor condițional, pentru acest FQDN, pe serverul DNS care indică spre serviciul DNS instanță dedicată. Serviciul DNS de instanță dedicată este regional și poate fi contactat, prin peering, utilizând următoarele adrese IP, după cum se menționează în tabelul Adresa IP a serviciului DNS de instanță dedicată.

Tabelul 6. Adresă IP a serviciului DNS de instanță dedicat

Regiune/DC

Adresă IP a serviciului DNS de instanță dedicat

Exemplu de redirecționare condiționată

AMER

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

UE

<customer>.eu.wxc-di.webex.com

Categorie: Istoria Franței

178.215.131.100

Ams

178.215.131.228

APAC

<customer>.apjc.wxc-di.webex.com

Păcat

103.232.71.100

tky

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Syd

178.215.128.228

UK

<customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

bărbat

178.215.135.228

Opțiunea ping este dezactivată pentru adresele IP ale serverului DNS menționate mai sus din motive de securitate.

Până când redirecționarea condiționată nu este în vigoare, dispozitivele nu se vor putea înregistra la instanța dedicată din rețeaua internă a clienților prin intermediul linkurilor de peering. Redirecționarea condiționată nu este necesară pentru înregistrarea prin intermediul accesului mobil și la distanță (MRA), deoarece toate înregistrările DNS externe necesare pentru a facilita MRA vor fi pre-furnizate de Cisco.

Atunci când utilizați aplicația Webex ca client soft apelant pe instanță dedicată, un profil UC Manager trebuie să fie configurat în Control Hub pentru domeniul de servicii de voce (VSD) din fiecare regiune. Pentru mai multe informații, consultați Profilurile UC Manager din Cisco Webex Control Hub. Aplicația Webex va putea rezolva automat Expressway Edge al clientului fără intervenția utilizatorului final.

Domeniul serviciului de voce va fi furnizat clientului ca parte a documentului de acces al partenerului după finalizarea activării serviciului.

Utilizați un router local pentru rezoluția DNS a telefonului

Pentru telefoanele care nu au acces la serverele DNS corporative, este posibil să utilizați un router Cisco local pentru a redirecționa solicitările DNS către DNS-ul cloud pentru instanța dedicată. Acest lucru elimină necesitatea de a implementa un server DNS local și oferă asistență DNS completă, inclusiv memorare în cache.

Exemplu de configurație :

!

Server DNS IP

Nume server IP

!

Utilizarea DNS în acest model de implementare este specifică telefoanelor și poate fi utilizată numai pentru a rezolva FQDN-urile cu domeniul din instanța dedicată a clienților.

Rezoluția DNS a telefonului