Cerințe de rețea pentru o instanță dedicată

Webex Calling Dedicated Instance face parte din portofoliul Cisco Cloud Calling, alimentat de tehnologia de colaborare Cisco Unified Communications Manager (Cisco Unified CM). Instanța Dedicată oferă soluții de voce, video, mesagerie și mobilitate cu caracteristicile și beneficiile telefoanelor IP Cisco, dispozitivelor mobile și clienților desktop care se conectează în siguranță la Instanța Dedicată.

Acest articol este destinat administratorilor de rețea, în special administratorilor de firewall și proxy de securitate care doresc să utilizeze Instanța Dedicată în cadrul organizației lor. Acest document se concentrează în primul rând pe cerințele de rețea și securitatea pentru soluția Instanță Dedicată, inclusiv abordarea stratificată a caracteristicilor și funcționalităților care oferă acces fizic securizat, o rețea sigură, puncte finale securizate și aplicații Cisco UC securizate.

Prezentare generală a securității: Securitate în straturi

Instanța dedicată utilizează o abordare stratificată pentru securitate. Straturile includ:

  • Acces fizic

  • Rețea

  • Puncte finale

  • aplicații UC

Următoarele secțiuni descriu straturile de securitate din implementările Instanțe dedicate.

Siguranță fizică

Este important să oferiți securitate fizică locațiilor Equinix Meet-Me Room și facilităților centrului de date Cisco Instanță dedicată. Când securitatea fizică este compromisă, pot fi inițiate atacuri simple, cum ar fi întreruperea serviciului prin oprirea alimentării la comutatoarele unui client. Cu acces fizic, atacatorii ar putea avea acces la dispozitivele server, pot reseta parolele și pot avea acces la comutatoare. Accesul fizic facilitează, de asemenea, atacuri mai sofisticate, cum ar fi atacurile man-in-the-middle, motiv pentru care al doilea nivel de securitate, securitatea rețelei, este critic.

Unitățile cu auto-criptare sunt utilizate în centrele de date Instanță dedicată care găzduiesc aplicații UC.

Pentru mai multe informații despre practicile generale de securitate, consultați documentația de la următoarea locație: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Securitatea retelei

Partenerii trebuie să se asigure că toate elementele de rețea sunt securizate în infrastructura Instanță Dedicată (care se conectează prin Equinix). Este responsabilitatea partenerului să asigure cele mai bune practici de securitate, cum ar fi:

  • VLAN separat pentru voce și date

  • Activați Port Security, care limitează numărul de adrese MAC permise pe port, împotriva inundațiilor de tabel CAM

  • IP Source Guard împotriva adreselor IP falsificate

  • Dynamic ARP Inspection (DAI) examinează protocolul de rezoluție a adresei (ARP) și ARP gratuit (GARP) pentru încălcări (împotriva falsificării ARP)

  • 802.1x limitează accesul la rețea pentru a autentifica dispozitivele pe VLAN-urile alocate (telefoanele acceptă 802.1x)

  • Configurarea calității serviciului (QoS) pentru marcarea corespunzătoare a pachetelor de voce

  • Configurații porturi firewall pentru a bloca orice alt trafic

Securitatea punctelor finale

Punctele finale Cisco acceptă caracteristici de securitate implicite, cum ar fi firmware-ul semnat, pornirea securizată (modele selectate), certificatul instalat de producător (MIC) și fișierele de configurare semnate, care oferă un anumit nivel de securitate pentru punctele finale.

În plus, un partener sau client poate activa securitate suplimentară, cum ar fi:

  • Criptați serviciile de telefonie IP (prin HTTPS) pentru servicii precum Extension Mobility

  • Emite certificate semnificative la nivel local (LSC) de la funcția de proxy a autorității de certificare (CAPF) sau de la o autoritate de certificare publică (CA)

  • Criptați fișierele de configurare

  • Criptare media și semnalizare

  • Dezactivați aceste setări dacă nu sunt utilizate: Port PC, PC Voice VLAN Access, ARP gratuit, Acces Web, Buton Setări, SSH, consolă

Implementarea mecanismelor de securitate în Instanța Dedicată previne furtul de identitate al telefoanelor și al serverului Unified CM, manipularea datelor și semnalizarea apelurilor/modificarea fluxului media.

Instanță dedicată prin rețea:

  • Stabilește și menține fluxuri de comunicare autentificate

  • Semnează digital fișierele înainte de a transfera fișierul pe telefon

  • Criptează fluxurile media și semnalizarea apelurilor între telefoanele IP Cisco Unified

Configurare implicită de securitate

Securitatea în mod implicit oferă următoarele caracteristici automate de securitate pentru telefoanele IP Cisco Unified:

  • Semnarea fișierelor de configurare a telefonului

  • Suport pentru criptarea fișierelor de configurare a telefonului

  • HTTPS cu Tomcat și alte servicii web (MIDlet-uri)

Pentru Unified CM Versiunea 8.0 ulterioară, aceste caracteristici de securitate sunt furnizate în mod implicit fără a rula clientul Certificate Trust List (CTL).

Serviciul de verificare a încrederii

Deoarece există un număr mare de telefoane într-o rețea și telefoanele IP au memorie limitată, Cisco Unified CM acționează ca un depozit de încredere la distanță prin Serviciul de verificare a încrederii (TVS), astfel încât un depozit de încredere pentru certificate nu trebuie să fie plasat pe fiecare telefon. Telefoanele IP Cisco contactează serverul TVS pentru verificare, deoarece nu pot verifica o semnătură sau un certificat prin fișiere CTL sau ITL. A avea un magazin de încredere central este mai ușor de gestionat decât a avea un magazin de încredere pe fiecare telefon IP Cisco Unified.

TVS permite telefoanelor IP Cisco Unified să autentifice serverele de aplicații, cum ar fi serviciile EM, directorul și MIDlet-ul, în timpul stabilirii HTTPS.

Lista inițială de încredere

Fișierul Initial Trust List (ITL) este utilizat pentru securitatea inițială, astfel încât punctele finale să aibă încredere în Cisco Unified CM. ITL nu are nevoie de nicio caracteristică de securitate pentru a fi activată în mod explicit. Fișierul ITL este creat automat când cluster-ul este instalat. Cheia privată a serverului Unified CM Trivial File Transfer Protocol (TFTP) este utilizată pentru a semna fișierul ITL.

Când clusterul sau serverul Cisco Unified CM este în modul nesecurizat, fișierul ITL este descărcat pe fiecare telefon IP Cisco acceptat. Un partener poate vizualiza conținutul unui fișier ITL utilizând comanda CLI, admin:show itl.

Telefoanele IP Cisco au nevoie de fișierul ITL pentru a efectua următoarele sarcini:

  • Comunicați în siguranță cu CAPF, o condiție prealabilă pentru a accepta criptarea fișierului de configurare

  • Autentificați semnătura fișierului de configurare

  • Autentificați serverele de aplicații, cum ar fi serviciile EM, directorul și MIDlet-ul în timpul stabilirii HTTPS folosind TVS

Cisco CTL

Dispozitivul, fișierul și autentificarea de semnalizare se bazează pe crearea fișierului Certificate Trust List (CTL), care este creat atunci când partenerul sau clientul instalează și configurează Cisco Certificate Trust List Client.

Fișierul CTL conține intrări pentru următoarele servere sau jetoane de securitate:

  • Jeton de securitate pentru administratorul de sistem (SAST)

  • Servicii Cisco CallManager și Cisco TFTP care rulează pe același server

  • Funcția de proxy al autorității de certificare (CAPF)

  • Server(e) TFTP

  • Firewall ASA

Fișierul CTL conține un certificat de server, cheie publică, număr de serie, semnătură, numele emitentului, numele subiectului, funcția serverului, numele DNS și adresa IP pentru fiecare server.

Securitatea telefonului cu CTL oferă următoarele funcții:

  • Autentificarea fișierelor descărcate TFTP (configurare, localizare, listă de apeluri și așa mai departe) folosind o cheie de semnare

  • Criptarea fișierelor de configurare TFTP folosind o cheie de semnare

  • Semnalizare criptată a apelurilor pentru telefoanele IP

  • Apel audio criptat (media) pentru telefoanele IP

Securitate pentru telefoanele IP Cisco în instanță dedicată

Instanța dedicată oferă înregistrarea punctului final și procesarea apelurilor. Semnalizarea dintre Cisco Unified CM și puncte finale se bazează pe Secure Skinny Client Control Protocol (SCCP) sau Session Initiation Protocol (SIP) și poate fi criptată utilizând Transport Layer Security (TLS). Media de la/la punctele finale se bazează pe Real-time Transport Protocol (RTP) și poate fi, de asemenea, criptată folosind Secure RTP (SRTP).

Activarea modului mixt pe Unified CM permite criptarea semnalului și a traficului media de la și către punctele finale Cisco.

Aplicații UC securizate

Activarea modului mixt în instanță dedicată

Modul mixt nu este activat implicit în Instanță dedicată.

Activarea modului mixt în Instanță dedicată permite posibilitatea de a realiza criptarea traficului de semnalizare și media de la și către punctele finale Cisco.

În Cisco Unified CM versiunea 12.5(1), a fost adăugată o nouă opțiune pentru a activa criptarea semnalizării și a media bazate pe SIP OAuth în loc de modul mixt / CTL pentru clienții Jabber și Webex. Prin urmare, în Unified CM versiunea 12.5(1), SIP OAuth și SRTP pot fi utilizate pentru a activa criptarea pentru semnalizare și media pentru clienții Jabber sau Webex. Activarea modului mixt continuă să fie necesară pentru telefoanele IP Cisco și alte terminale Cisco în acest moment. Există un plan de a adăuga suport pentru SIP OAuth în punctele finale 7800/8800 într-o versiune viitoare.

Securitatea mesageriei vocale

Cisco Unity Connection se conectează la Unified CM prin portul TLS. Când modul de securitate al dispozitivului este nesecurizat, Cisco Unity Connection se conectează la Unified CM prin portul SCCP.

Pentru a configura securitatea pentru porturile de mesagerie vocală Unified CM și dispozitivele Cisco Unity care rulează SCCP sau dispozitivele Cisco Unity Connection care rulează SCCP, un partener poate alege un mod de securitate securizat al dispozitivului pentru port. Dacă alegeți un port de mesagerie vocală autentificată, se deschide o conexiune TLS, care autentifică dispozitivele utilizând un schimb reciproc de certificate (fiecare dispozitiv acceptă certificatul celuilalt dispozitiv). Dacă alegeți un port de mesagerie vocală criptat, sistemul autentifică mai întâi dispozitivele și apoi trimite fluxuri vocale criptate între dispozitive.

Pentru mai multe informații despre porturile de mesaje vocale de securitate, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Securitate pentru SRST, Trunk-uri, Gateway-uri, CUBE/SBC

Un gateway Cisco Unified Survivable Remote Site Telephony (SRST) activat oferă sarcini limitate de procesare a apelurilor dacă Cisco Unified CM pe Instanță dedicată nu poate finaliza apelul.

Gateway-urile securizate activate pentru SRST conțin un certificat autosemnat. După ce un partener efectuează sarcini de configurare SRST în Unified CM Administration, Unified CM utilizează o conexiune TLS pentru a se autentifica cu serviciul Furnizor de certificat în gateway-ul SRST activat. Unified CM preia apoi certificatul de la gateway-ul SRST activat și adaugă certificatul la baza de date Unified CM.

După ce partenerul resetează dispozitivele dependente în Unified CM Administration, serverul TFTP adaugă certificatul de gateway activat pentru SRST la fișierul cnf.xml al telefonului și trimite fișierul la telefon. Un telefon securizat utilizează apoi o conexiune TLS pentru a interacționa cu gateway-ul SRST activat.

Este recomandat să aveți trunchiuri securizate pentru apelul care provine de la Cisco Unified CM către gateway pentru apeluri PSTN de ieșire sau care traversează Cisco Unified Border Element (CUBE).

Trunkurile SIP pot suporta apeluri sigure atât pentru semnalizare, cât și pentru media; TLS oferă criptare de semnalizare, iar SRTP oferă criptare media.

Securizarea comunicațiilor între Cisco Unified CM și CUBE

Pentru comunicații sigure între Cisco Unified CM și CUBE, partenerii/clienții trebuie să utilizeze fie un certificat autosemnat, fie certificate semnate de CA.

Pentru certificatele autosemnate:

  1. CUBE și Cisco Unified CM generează certificate autosemnate

  2. CUBE exportă certificatul către Cisco Unified CM

  3. Cisco Unified CM exportă certificatul către CUBE

Pentru certificatele semnate de CA:

  1. Clientul generează o pereche de chei și trimite o Cerere de semnare a certificatului (CSR) către Autoritatea de Certificare (CA)

  2. CA îl semnează cu cheia sa privată, creând un certificat de identitate

  3. Clientul instalează lista de certificate rădăcină și intermediară CA de încredere și certificatul de identitate

Securitate pentru punctele finale de la distanță

Cu punctele finale de acces mobil și de la distanță (MRA), semnalizarea și media sunt întotdeauna criptate între punctele terminale MRA și nodurile Expressway. Dacă se utilizează protocolul Interactive Connectivity Establishment (ICE) pentru punctele finale MRA, este necesară semnalizarea și criptarea media a punctelor finale MRA. Cu toate acestea, criptarea semnalizării și a media dintre Expressway-C și serverele interne Unified CM, punctele terminale interne sau alte dispozitive interne necesită modul mixt sau SIP OAuth.

Cisco Expressway oferă traversare firewall securizată și suport pe linie pentru înregistrările Unified CM. Unified CM oferă controlul apelurilor atât pentru punctele finale mobile, cât și pentru cele locale. Semnalizarea traversează soluția Expressway între punctul final la distanță și Unified CM. Media traversează soluția Expressway și este transmis direct între punctele finale. Toate mediile sunt criptate între Expressway-C și terminalul mobil.

Orice soluție MRA necesită Expressway și Unified CM, cu clienți soft compatibile cu MRA și/sau puncte finale fixe. Soluția poate include opțional IM și Serviciul de prezență și Unity Connection.

Rezumatul protocolului

Următorul tabel prezintă protocoalele și serviciile asociate utilizate în soluția Unified CM.

Tabelul 1. Protocoale și servicii asociate

Protocol

Securitate

Serviciu

SIP

TLS

Stabilirea sesiunii: Înregistrează-te, invită etc.

HTTPS

TLS

Conectare, Aprovizionare/Configurare, Director, Mesaj vocal vizual

Media

SRTP

Mass-media: Audio, video, partajare de conținut

XMPP

TLS

Mesagerie instantanee, Prezență, Federație

Pentru mai multe informații despre configurarea MRA, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opțiuni de configurare

Instanța dedicată oferă Partenerului flexibilitatea de a personaliza serviciile pentru utilizatorii finali prin controlul deplin al configurațiilor din a doua zi. Ca urmare, partenerul este singurul responsabil pentru configurarea corectă a serviciului Instanță dedicată pentru mediul utilizatorului final. Aceasta include, dar fără a se limita la:

  • Alegerea apelurilor securizate/nesigure, a protocoalelor securizate/nesigure, cum ar fi SIP/sSIP, http/https etc. și înțelegerea oricăror riscuri asociate.

  • Pentru toate adresele MAC care nu sunt configurate ca SIP securizat în Instanță dedicată, un atacator poate trimite un mesaj SIP Register utilizând acea adresă MAC și poate efectua apeluri SIP, ceea ce duce la fraudă. Condiția este că atacatorul își poate înregistra dispozitivul/software-ul SIP la Instanță Dedicată fără autorizare dacă cunoaște adresa MAC a unui dispozitiv înregistrat în Instanță Dedicată.

  • Politicile de apelare Expressway-E, regulile de transformare și căutare ar trebui să fie configurate pentru a preveni frauda cu taxe. Pentru mai multe informații despre prevenirea fraudei cu taxe folosind Expressways, consultați secțiunea Securitate pentru Expressway C și Expressway-E din Collaboration SRND.

  • Configurarea planului de apelare pentru a se asigura că utilizatorii pot apela numai destinațiile care sunt permise, de exemplu, interzice apelurile naționale/internaționale, apelurile de urgență sunt direcționate corect etc. Pentru mai multe informații despre aplicarea restricțiilor folosind planul de apelare, consultați secțiunea Plan de apelare din Colaborare SRND.

Cerințe de certificat pentru conexiuni securizate în instanță dedicată

Pentru Instanța Dedicată, Cisco va furniza domeniul și va semna toate certificatele pentru aplicațiile UC folosind o Autoritate de Certificare (CA) publică.

Instanță dedicată – numere de port și protocoale

Următoarele tabele descriu porturile și protocoalele care sunt acceptate în Instanța Dedicată. Porturile care sunt utilizate pentru un anumit client depind de implementarea și soluția clientului. Protocoalele depind de preferința clientului (SCCP vs SIP), de dispozitivele existente la nivel local și de ce nivel de securitate pentru a determina ce porturi vor fi utilizate în fiecare implementare.

Instanță dedicată – porturi pentru clienți

Porturile disponibile pentru clienți - între sediul Clientului și Instanța Dedicată sunt prezentate în Tabelul 1 Porturile Clientului Instanță Dedicată. Toate porturile enumerate mai jos sunt pentru traficul clienților care traversează legăturile de peering.


Portul SNMP este acceptat numai pentru funcționalitatea CER și nu pentru alte instrumente de monitorizare ale unor terțe părți.


Porturile din intervalul 5063 până la 5080 sunt rezervate de Cisco pentru alte integrări în cloud, administratorilor parteneri sau clienți li se recomandă să nu folosească aceste porturi în configurațiile lor.

Tabelul 2. Instanță dedicată Porturi pentru clienți

Protocol

TCP/UCP

Sursă

Destinație

Port sursă

Portul de destinație

Scop

SSH

TCP

Client

aplicații UC

Mai mare de 1023

22

Administrare

LDAP

TCP

aplicații UC

Director extern

Mai mare de 1023

389

Sincronizare director cu LDAP client

HTTPS

TCP

Browser

aplicații UC

Mai mare de 1023

443

Acces web pentru auto-îngrijire și interfețe administrative

LDAP (SEGURAT)

TCP

aplicații UC

Director extern

Mai mare de 1023

636

Sincronizare director cu LDAP client

SCCP

TCP

Punct final

CM Unificat, CUCxn

Mai mare de 1023

2000

Semnalizarea apelurilor

SCCP

TCP

Unified CM

Unified CM, Gateway

Mai mare de 1023

2000

Semnalizarea apelurilor

SCCP (SIGUR)

TCP

Punct final

CM Unificat, CUCxn

Mai mare de 1023

2443

Semnalizarea apelurilor

SCCP (SIGUR)

TCP

Unified CM

Unified CM, Gateway

Mai mare de 1023

2443

Semnalizarea apelurilor

Verificarea încrederii

TCP

Punct final

Unified CM

Mai mare de 1023

2445

Furnizarea de servicii de verificare a încrederii punctelor finale

CTI

TCP

Punct final

Unified CM

Mai mare de 1023

2748

Conexiune între aplicațiile CTI (JTAPI/TSP) și CTIManager

CTI securizat

TCP

Punct final

Unified CM

Mai mare de 1023

2749

Conexiune sigură între aplicațiile CTI (JTAPI/TSP) și CTIManager

Catalog global LDAP

TCP

Aplicații UC

Director extern

Mai mare de 1023

3268

Sincronizare director cu LDAP client

Catalog global LDAP

TCP

Aplicații UC

Director extern

Mai mare de 1023

3269

Sincronizare director cu LDAP client

Serviciul CAPF

TCP

Punct final

Unified CM

Mai mare de 1023

3804

Port de ascultare al funcției de proxy a autorității de certificare (CAPF) pentru emiterea de certificate semnificative la nivel local (LSC) către telefoanele IP

SIP

TCP

Punct final

CM Unificat, CUCxn

Mai mare de 1023

5060

Semnalizarea apelurilor

SIP

TCP

Unified CM

Unified CM, Gateway

Mai mare de 1023

5060

Semnalizarea apelurilor

SIP (SEGURAT)

TCP

Punct final

Unified CM

Mai mare de 1023

5061

Semnalizarea apelurilor

SIP (SEGURAT)

TCP

Unified CM

Unified CM, Gateway

Mai mare de 1023

5061

Semnalizarea apelurilor

SIP (JURĂMÂNT)

TCP

Punct final

Unified CM

Mai mare de 1023

5090

Semnalizarea apelurilor

XMPP

TCP

Client Jabber

Cisco IM&P

Mai mare de 1023

5222

Mesaje instantanee și prezență

HTTP

TCP

Punct final

Unified CM

Mai mare de 1023

6970

Descărcarea configurației și a imaginilor la punctele finale

HTTPS

TCP

Punct final

Unified CM

Mai mare de 1023

6971

Descărcarea configurației și a imaginilor la punctele finale

HTTPS

TCP

Punct final

Unified CM

Mai mare de 1023

6972

Descărcarea configurației și a imaginilor la punctele finale

HTTP

TCP

Client Jabber

CUCxn

Mai mare de 1023

7080

Notificări de mesagerie vocală

HTTPS

TCP

Client Jabber

CUCxn

Mai mare de 1023

7443

Notificări securizate de mesagerie vocală

HTTPS

TCP

Unified CM

Unified CM

Mai mare de 1023

7501

Folosit de Intercluster Lookup Service (ILS) pentru autentificarea pe bază de certificat

HTTPS

TCP

Unified CM

Unified CM

Mai mare de 1023

7502

Folosit de ILS pentru autentificarea bazată pe parolă

IMAP

TCP

Client Jabber

CUCxn

Mai mare de 1023

7993

IMAP peste TLS

HTTPS

TCP

Browser, Endpoint

aplicații UC

Mai mare de 1023

8443

Acces web pentru auto-îngrijire și interfețe administrative, UDS

HTTPS

TCP

Prem

Unified CM

Mai mare de 1023

9443

Căutare de contacte autentificată

RTP/SRTP securizat

UDP

Unified CM

Telefon

16384 până la 32767 *

16384 până la 32767 *

Media (audio) - Muzică în așteptare, Anuntor, Software Conference Bridge (Deschis pe baza semnalizării apelului)

RTP/SRTP securizat

UDP

Telefon

Unified CM

16384 până la 32767 *

16384 până la 32767 *

Media (audio) - Muzică în așteptare, Anuntor, Software Conference Bridge (Deschis pe baza semnalizării apelului)

ICMP

ICMP

Punct final

aplicații UC

nu este cazul

nu este cazul

Ping

ICMP

ICMP

aplicații UC

Punct final

nu este cazul

nu este cazul

Ping

* Anumite cazuri speciale pot folosi o gamă mai mare.

Instanță dedicată – porturi OTT

Următoarea listă de porturi poate fi utilizată de către clienți și parteneri pentru configurarea accesului mobil și la distanță (MRA):

Tabelul 3. Lista de porturi pentru OTT

Protocol

TCP/UCP

Sursă

Destinație

Port sursă

Portul de destinație

Scop

SIP SIGUR

TCP

Punct final

Autostrada E

Mai mare de 1023

5061

Semnalizare SIP sigură Pentru înregistrarea și apelurile MRA

SIP SIGUR

TCP

Punct final/Server

Autostrada E

Mai mare de 1023

5062

SIP securizat pentru apeluri B2B

RTP/RTCP SIGUR

UDP

Punct final/Server

Autostrada E

Mai mare de 1023

36000-59999

Media securizată pentru apeluri MRA și B2B

HTTPS (SEGURAT)

TLS

Client

Autostrada E

Mai mare de 1023

8443

CUCM UDS și CUCxn REST pentru apelurile MRA

XMLS

TLS

Client

Autostrada E

Mai mare de 1023

5222

IM și Prezență

ÎNTORCĂ

UDP

Client ICE

Autostrada E

Mai mare de 1023

3478

Negociere ICE/STUN/TURN

RTP/RTCP SIGUR

UPD

Client ICE

Autostrada E

Mai mare de 1023

24000-29999

TURN media pentru ICE alternativă

Instanță dedicată – porturi UCCX

Următoarea listă de porturi poate fi utilizată de clienți și parteneri pentru configurarea UCCX.

Tabelul 4. Porturi Cisco UCCX

Protocol

TCP/UCP

Sursă

Destinație

Port sursă

Portul de destinație

Scop

SSH

TCP

Client

UCCX

Mai mare de 1023

22

SFTP și SSH

Informix

TCP

Client sau Server

UCCX

Mai mare de 1023

1504

Port de bază de date CCX unificat

SIP

UDP și TCP

Server SIP GW sau MCRP

UCCX

Mai mare de 1023

5065

Comunicare cu nodurile GW și MCRP la distanță

XMPP

TCP

Client

UCCX

Mai mare de 1023

5223

Conexiune XMPP sigură între serverul Finesse și aplicațiile personalizate de la terți

CVD

TCP

Client

UCCX

Mai mare de 1023

6999

Editor pentru aplicațiile CCX

HTTPS

TCP

Client

UCCX

Mai mare de 1023

7443

Conexiune BOSH securizată între serverul Finesse și desktopurile agent și supervizor pentru comunicare prin HTTPS

HTTP

TCP

Client

UCCX

Mai mare de 1023

8080

Clienții de raportare a datelor în direct se conectează la serverul socket.IO

HTTP

TCP

Client

UCCX

Mai mare de 1023

8081

Browser client încearcă să acceseze interfața web Cisco Unified Intelligence Center

HTTP

TCP

Client

UCCX

Mai mare de 1023

8443

GUI de administrare, RTMT, acces DB prin SOAP

HTTPS

TCP

Client

UCCX

Mai mare de 1023

8444

Interfață web Cisco Unified Intelligence Center

HTTPS

TCP

Browser și clienți REST

UCCX

Mai mare de 1023

8445

Port securizat pentru Finesse

HTTPS

TCP

Client

UCCX

Mai mare de 1023

8447

HTTPS - Ajutor online Unified Intelligence Center

HTTPS

TCP

Client

UCCX

Mai mare de 1023

8553

Componentele Single Sign-On (SSO) accesează această interfață pentru a cunoaște starea de funcționare a Cisco IdS.

HTTP

TCP

Client

UCCX

Mai mare de 1023

9080

Clienți care încearcă să acceseze declanșatoare HTTP sau documente / prompturi / gramatici / date live.

HTTPS

TCP

Client

UCCX

Mai mare de 1023

9443

Port securizat folosit pentru a răspunde clienților care încearcă să acceseze declanșatoarele HTTPS

TCP

TCP

Client

UCCX

Mai mare de 1023

12014

Acesta este portul în care clienții de raportare a datelor în direct se pot conecta la serverul socket.IO

TCP

TCP

Client

UCCX

Mai mare de 1023

12015

Acesta este portul în care clienții de raportare a datelor în direct se pot conecta la serverul socket.IO

CTI

TCP

Client

UCCX

Mai mare de 1023

12028

Client CTI terță parte către CCX

RTP (media)

TCP

Punct final

UCCX

Mai mare de 1023

Mai mare de 1023

Portul media este deschis dinamic după cum este necesar

RTP (media)

TCP

Client

Punct final

Mai mare de 1023

Mai mare de 1023

Portul media este deschis dinamic după cum este necesar

Securitatea clientului

Securizarea Jabber și Webex cu SIP OAuth

Clienții Jabber și Webex sunt autentificați printr-un simbol OAuth în loc de un certificat semnificativ la nivel local (LSC), care nu necesită activarea funcției de proxy a autorității de certificare (CAPF) (și pentru MRA). SIP OAuth care funcționează cu sau fără modul mixt a fost introdus în Cisco Unified CM 12.5(1), Jabber 12.5 și Expressway X12.5.

În Cisco Unified CM 12.5, avem o nouă opțiune în Phone Security Profile care permite criptarea fără LSC/CAPF, folosind un singur Transport Layer Security (TLS) + token OAuth în SIP REGISTER. Nodurile Expressway-C folosesc API-ul Administrative XML Web Service (AXL) pentru a informa Cisco Unified CM despre SN/SAN din certificatul lor. Cisco Unified CM utilizează aceste informații pentru a valida certificatul Exp-C atunci când stabilește o conexiune TLS reciprocă.

SIP OAuth permite criptarea media și a semnalizării fără un certificat de punct final (LSC).

Cisco Jabber folosește porturi efemere și porturi securizate 6971 și 6972 prin conexiune HTTPS la serverul TFTP pentru a descărca fișierele de configurare. Portul 6970 este un port nesecurizat pentru descărcare prin HTTP.

Mai multe detalii despre configurarea SIP OAuth: Modul SIP OAuth.

Cerințe DNS

Pentru o instanță dedicată, Cisco oferă FQDN-ul pentru serviciu în fiecare regiune cu următorul format <customer>.<region>.wxc-di.webex.com, de exemplu, xyz.amer.wxc- di.webex.com.

Valoarea „client” este furnizată de administrator ca parte a Expertului de configurare pentru prima dată (FTSW). Pentru mai multe informaţii, consultaţi Activarea serviciului de instanţă dedicată.

Înregistrările DNS pentru acest FQDN trebuie să poată fi rezolvate de pe serverul DNS intern al clientului pentru a suporta dispozitivele locale care se conectează la Instanța Dedicată. Pentru a facilita rezoluția, clientul trebuie să configureze un Forwarder condiționat, pentru acest FQDN, pe serverul DNS care indică serviciul DNS de instanță dedicată. Serviciul DNS pentru instanță dedicată este regional și poate fi accesat, prin peering la Instanța dedicată, folosind următoarele adrese IP, așa cum este menționat în tabelul de mai jos Adresa IP a serviciului DNS pentru instanță dedicată.

Tabelul 5. Adresă IP a serviciului DNS al instanței dedicate

Regiunea/DC

Adresă IP a serviciului DNS al instanței dedicate

Exemplu de redirecționare condiționată

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

PĂCAT

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


Opțiunea ping este dezactivată pentru adresele IP ale serverului DNS menționate mai sus din motive de securitate.

Până când redirecționarea condiționată nu este în vigoare, dispozitivele nu se vor putea înregistra la Instanța Dedicată din rețeaua internă a clienților prin link-urile de peering. Redirecționarea condiționată nu este necesară pentru înregistrare prin acces mobil și de la distanță (MRA), deoarece toate înregistrările DNS externe necesare pentru a facilita MRA vor fi furnizate în prealabil de către Cisco.

Când utilizați aplicația Webex ca client soft de apelare pe o instanță dedicată, trebuie configurat un profil de manager UC în Control Hub pentru domeniul serviciului vocal (VSD) al fiecărei regiuni. Pentru mai multe informații, consultați Profilurile managerului UC în Cisco Webex Control Hub. Aplicația Webex va putea rezolva automat Expressway Edge a clientului fără nicio intervenție a utilizatorului final.


Voice Service Domain va fi furnizat clientului ca parte a documentului de acces al partenerului odată ce activarea serviciului este finalizată.