Cerințe de rețea pentru o instanță dedicată

Webex Calling Dedicated Instance face parte din portofoliul Cisco Cloud Calling, alimentat de tehnologia de colaborare Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance oferă soluții de voce, video, mesagerie și mobilitate cu caracteristicile și beneficiile telefoanelor IP Cisco, ale dispozitivelor mobile și ale clienților desktop care se conectează în siguranță la instanța dedicată.

Acest articol este destinat administratorilor de rețea, în special administratorilor de securitate paravan de protecție și proxy care doresc să utilizeze instanță dedicată în cadrul organizației lor. Acest document se concentrează în primul rând pe cerințele de rețea și securitatea pentru soluția de instanță dedicată, inclusiv abordarea stratificată a caracteristicilor și funcționalităților care oferă acces fizic securizat, o rețea securizată, puncte finale securizate și aplicații Cisco UC securizate.

Cerințe de certificat pentru conexiuni securizate în instanță dedicată

Pentru webex Calling Dedicated Instance, Cisco va furniza domeniul și va semna toate certificatele pentru aplicațiile UC utilizând o autoritate publică de certificare (CA).

Instanță dedicată – Numere de port și protocoale

Următoarele tabele descrie porturile și protocoalele care sunt acceptate în instanță dedicată. Porturile care sunt utilizate pentru un anumit client depinde de implementarea și soluția clientului. Protocoalele depind de preferințele clientului (SCCP vs SIP), de dispozitivele locale existente și de nivelul de securitate pentru a determina ce porturi trebuie utilizate în fiecare implementare.

Instanță dedicată – Porturi pentru clienți

Porturile disponibile pentru clienți - între premisa clientului și instanța dedicată este afișată în tabelul 1 Porturi dedicate instanței clienților. Toate porturile enumerate mai jos sunt pentru traficul de clienți care traversează linkurile de peering.


Portul SNMP este acceptat numai pentru funcționalitatea CER și nu pentru orice alte instrumente de monitorizare terță parte.

Tabelul 1. Porturi dedicate instanței pentru clienți

Protocol

TCP/UCP

Sursă

Destinație

Portul sursă

Portul de destinație

Scop

SSH

TCP

Client

Aplicații UC

Mai mare decât 1023

22

Administrare

LDAP

TCP

Aplicații UC

Director extern

Mai mare decât 1023

389

Sincronizarea directorului cu LDAP-ul clientului

HTTPS

TCP

Browser

Aplicații UC

Mai mare decât 1023

443

Acces web pentru auto-îngrijire și interfețe administrative

LDAP (SECURIZAT)

TCP

Aplicații UC

Director extern

Mai mare decât 1023

636

Sincronizarea directorului cu LDAP-ul clientului

SCCP

TCP

Punct final

CM unificat, CUCxn

Mai mare decât 1023

2000

Semnalizarea apelurilor

SCCP

TCP

Unified CM

CM unificat, Gateway

Mai mare decât 1023

2000

Semnalizarea apelurilor

SCCP (SECURE)

TCP

Punct final

CM unificat, CUCxn

Mai mare decât 1023

2443

Semnalizarea apelurilor

SCCP (SECURE)

TCP

Unified CM

CM unificat, Gateway

Mai mare decât 1023

2443

Semnalizarea apelurilor

Verificarea încrederii

TCP

Punct final

Unified CM

Mai mare decât 1023

2445

Furnizarea de servicii de verificare a încrederii pentru punctele finale

CTI

TCP

Punct final

Unified CM

Mai mare decât 1023

2748

Conexiunea dintre aplicațiile CTI (JTAPI/TSP) și CTIManager

CTI securizat

TCP

Punct final

Unified CM

Mai mare decât 1023

2749

Conexiune securizată între aplicațiile CTI (JTAPI/TSP) și CTIManager

LDAP Global Catalog

TCP

Aplicații UC

Director extern

Mai mare decât 1023

3268

Sincronizarea directorului cu LDAP-ul clientului

LDAP Global Catalog

TCP

Aplicații UC

Director extern

Mai mare decât 1023

3269

Sincronizarea directorului cu LDAP-ul clientului

Serviciul CAPF

TCP

Punct final

Unified CM

Mai mare decât 1023

3804

Port de ascultare pentru funcția proxy a autorității de certificare (CAPF) pentru eliberarea certificatelor semnificative locale (LSC) pe telefoanele IP

SIP

TCP

Punct final

CM unificat, CUCxn

Mai mare decât 1023

5060

Semnalizarea apelurilor

SIP

TCP

Unified CM

CM unificat, Gateway

Mai mare decât 1023

5060

Semnalizarea apelurilor

SIP (SIGUR)

TCP

Punct final

Unified CM

Mai mare decât 1023

5061

Semnalizarea apelurilor

SIP (SIGUR)

TCP

Unified CM

CM unificat, Gateway

Mai mare decât 1023

5061

Semnalizarea apelurilor

SIP (OAUTH)

TCP

Punct final

Unified CM

Mai mare decât 1023

5090

Semnalizarea apelurilor

XMPP

TCP

Jabber Client

Cisco IM &P

Mai mare decât 1023

5222

Mesagerie instant și prezență

HTTP

TCP

Punct final

Unified CM

Mai mare decât 1023

6970

Descărcarea configurației și a imaginilor la punctele finale

HTTPS

TCP

Punct final

Unified CM

Mai mare decât 1023

6971

Descărcarea configurației și a imaginilor la punctele finale

HTTPS

TCP

Punct final

Unified CM

Mai mare decât 1023

6972

Descărcarea configurației și a imaginilor la punctele finale

HTTP

TCP

Jabber Client

CUCxn

Mai mare decât 1023

7080

Notificări prin poștă vocală

HTTPS

TCP

Jabber Client

CUCxn

Mai mare decât 1023

7443

Notificări securizate prin poștă vocală

HTTPS

TCP

Unified CM

Unified CM

Mai mare decât 1023

7501

Utilizat de Intercluster Lookup Service (ILS) pentru autentificarea bazată pe certificat

HTTPS

TCP

Unified CM

Unified CM

Mai mare decât 1023

7502

Utilizat de ILS pentru autentificarea bazată pe parolă

IMAP

TCP

Jabber Client

CUCxn

Mai mare decât 1023

7993

IMAP prin TLS

HTTPS

TCP

Browser, Punct final

Aplicații UC

Mai mare decât 1023

8443

Acces web pentru auto-îngrijire și interfețe administrative, UDS

HTTPS

TCP

Prem

Unified CM

Mai mare decât 1023

9443

Căutare de persoane de contact autentificate

Secure RTP / SRTP

UDP

Unified CM

Telefon

16384 - 32767 *

16384 - 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Deschis bazat pe semnalizarea apelurilor)

Secure RTP / SRTP

UDP

Telefon

Unified CM

16384 - 32767 *

16384 - 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Deschis bazat pe semnalizarea apelurilor)

ICMP

ICMP

Punct final

Aplicații UC

N/a

N/a

Ping

ICMP

ICMP

Aplicații UC

Punct final

N/a

N/a

Ping

* Anumite cazuri speciale pot folosi o gamă mai mare.

Instanță dedicată – Porturi OTT

Următoarea listă de porturi poate fi utilizată de clienții și partenerii pentru configurarea mobile și de acces la distanță (MRA):

Tabelul 2. Lista porturilor pentru OTT

Protocol

TCP/UCP

Sursă

Destinație

Portul sursă

Portul de destinație

Scop

SIP SECURIZAT

TCP

Punct final

Drum expres E

Mai mare decât 1023

5061

Semnalizare SIP securizată pentru înregistrarea MRA și apeluri

SIP SECURIZAT

TCP

Punct final/Server

Drum expres E

Mai mare decât 1023

5062

SIP securizat pentru apeluri B2B

RTP/RTCP SECURIZAT

UDP

Punct final/Server

Drum expres E

Mai mare decât 1023

36000-59999

Secure Media pentru apeluri MRA și B2B

HTTPS (SECURIZAT)

TLS

Client

Drum expres E

Mai mare decât 1023

8443

CUCM UDS și CUCxn REST pentru apeluri MRA

XMLS

TLS

Client

Drum expres E

Mai mare decât 1023

5222

IM și prezență

A ÎNTOARCE

UDP

Clientul ICE

Drum expres E

Mai mare decât 1023

3478

Ice / STUN / TURN negociere

RTP/RTCP SECURIZAT

UPD

Clientul ICE

Drum expres E

Mai mare decât 1023

24000-29999

Turn mass-media pentru ice rezervă

Instanță dedicată – Porturi UCCX

Următoarea listă de porturi poate fi utilizată de clienți și parteneri pentru configurarea UCCX.

Tabelul 3. Porturi Cisco UCCX

Protocol

TCP / UCP

Sursă

Destinație

Portul sursă

Portul de destinație

Scop

SSH

TCP

Client

UCCX

Mai mare decât 1023

22

SFTP și SSH

Informix

TCP

Client sau Server

UCCX

Mai mare decât 1023

1504

Portul bazei de date CCX unificate

SIP

UDP și TCP

Sip GW sau server MCRP

UCCX

Mai mare decât 1023

5065

Comunicarea cu nodurile GW și MCRP la distanță

XMPP

TCP

Client

UCCX

Mai mare decât 1023

5223

Conexiune XMPP securizată între serverul Finesse și aplicațiile terțe particularizate

BCV

TCP

Client

UCCX

Mai mare decât 1023

6999

Editor la aplicații CCX

HTTPS

TCP

Client

UCCX

Mai mare decât 1023

7443

Conexiune BOSH securizată între serverul Finesse și desktop-urile agentului și supervizorului pentru comunicarea prin HTTPS

HTTP

TCP

Client

UCCX

Mai mare decât 1023

8080

Clienții de raportare a datelor în timp real se conectează la soclu. Server IO

HTTP

TCP

Client

UCCX

Mai mare decât 1023

8081

Browser client care încearcă să acceseze interfața web Cisco Unified Intelligence Center

HTTP

TCP

Client

UCCX

Mai mare decât 1023

8443

Admin GUI, RTMT, DB acces prin SOAP

HTTPS

TCP

Client

UCCX

Mai mare decât 1023

8444

Interfața web Cisco Unified Intelligence Center

HTTPS

TCP

Browser și clienți REST

UCCX

Mai mare decât 1023

8445

Port securizat pentru Finețe

HTTPS

TCP

Client

UCCX

Mai mare decât 1023

8447

HTTPS - Ajutor online pentru Unified Intelligence Center

HTTPS

TCP

Client

UCCX

Mai mare decât 1023

8553

Componentele Single Sign-On (SSO) accesează această interfață pentru a cunoaște starea de funcționare a Cisco IdS.

HTTP

TCP

Client

UCCX

Mai mare decât 1023

9080

Clienții care încearcă să acceseze declanșatoare HTTP sau documente / solicitări / gramatici / date live.

HTTPS

TCP

Client

UCCX

Mai mare decât 1023

9443

Port securizat utilizat pentru a răspunde clienților care încearcă să acceseze declanșatoare HTTPS

TCP

TCP

Client

UCCX

Mai mare decât 1023

12014

Acesta este portul în care clienții de raportare a datelor live se pot conecta la soclu. Server IO

TCP

TCP

Client

UCCX

Mai mare decât 1023

12015

Acesta este portul în care clienții de raportare a datelor live se pot conecta la soclu. Server IO

CTI

TCP

Client

UCCX

Mai mare decât 1023

12028

Client CTI terț la CCX

RTP (Mass-media)

TCP

Punct final

UCCX

Mai mare decât 1023

Mai mare decât 1023

Portul media este deschis dinamic, după cum este necesar

RTP (Mass-media)

TCP

Client

Punct final

Mai mare decât 1023

Mai mare decât 1023

Portul media este deschis dinamic, după cum este necesar

Securitatea clientului

Securizarea Jabber și Webex cu SIP OAuth

Clienții Jabber și Webex sunt autentificați printr-un simbol OAuth în loc de un certificat semnificativ local (LSC), care nu necesită activarea funcției proxy a autorității de certificare (CAPF) (și pentru MRA). SIP OAuth de lucru cu sau fără modul mixt a fost introdus în Cisco Unified CM 12.5 (1), Jabber 12.5, și Expressway X12.5.

În Cisco Unified CM 12.5, avem o nouă opțiune în Profilul de securitate al telefonului care permite criptarea fără LSC / CAPF, folosind un singur simbol Transport Layer Security (TLS) + OAuth în SIP REGISTER. Nodurile Expressway-C utilizează API-ul Administrative XML Web Service (AXL) pentru a informa Cisco Unified CM despre SN/SAN în certificatul lor. Cisco Unified CM utilizează aceste informații pentru a valida cert exp-C atunci când stabilește o conexiune TLS reciprocă.

SIP OAuth permite criptarea media și semnalizare fără un certificat endpoint (LSC).

Cisco Jabber utilizează porturi efemere și porturi securizate 6971 și 6972 prin conexiune HTTPS la serverul TFTP pentru a descărca fișierele de configurare. Portul 6970 este un port non-securizat pentru descărcare prin HTTP.

Mai multe detalii despre configurația SIP OAuth: SIP OAuth Mode.

Cerințe DNS

De exemplu dedicat Cisco oferă FQDN pentru serviciul în fiecare regiune cu următorul format <customer>.<region>. wxc-di.webex.com de exemplu, xyz.amer.wxc-di.webex.com.

Valoarea "client" este furnizată de administrator ca parte a Expertului de configurare pentru prima dată (FTSW). Pentru mai multe informații, consultați Activarea serviciului de instanță dedicată.

Înregistrările DNS pentru acest FQDN trebuie să poată fi rezoluate de pe serverul DNS intern al clientului pentru a accepta dispozitivele locale care se conectează la instanța dedicată. Pentru a facilita rezolvarea, clientul trebuie să configurați un expeditor condiționat, pentru acest FQDN, pe serverul DNS care indică spre serviciul DNS instanță dedicată. Serviciul DNS de instanță dedicată este regional și poate fi accesat, prin peering la instanță dedicată, utilizând următoarele adrese IP, după cum se menționează în tabelul de mai jos Dedicated Instance DNS Service IP Address.

Tabelul 4. Adresă IP a serviciului DNS de instanță dedicată

Regiune/DC

Adresă IP a serviciului DNS de instanță dedicată

Exemplu de redirecționare condiționată

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

PĂCAT

103.232.71.288

Până când redirecționarea condiționată nu este în vigoare, dispozitivele nu vor putea să se înregistreze în instanța dedicată din rețeaua internă a clienților prin intermediul linkurilor de peering. Redirecționarea condiționată nu este necesară pentru înregistrare prin mobile și remote access (MRA), deoarece toate înregistrările DNS externe necesare pentru a facilita MRA vor fi pre-furnizate de Cisco.

Atunci când utilizați aplicația Webex ca client soft apelant în instanță dedicată, un profil de manager UC trebuie să fie configurat în Control Hub pentru domeniul de servicii de voce (VSD) din fiecare regiune. Pentru mai multe informații, consultați Profilurile UC Manager din Cisco Webex Control Hub. Aplicația Webex va putea rezolva automat Expressway Edge-ul clientului fără intervenția utilizatorului final.


Domeniul serviciului de voce va fi furnizat clientului ca parte a documentului de acces partener după finalizarea activării serviciului.