- Pagină de pornire
- /
- Articol
Cerințele de rețea și securitate pentru soluția Instanță dedicată sunt abordarea stratificată a funcțiilor și funcționalității care oferă acces fizic securizat, rețea, puncte finale și aplicații Cisco UC. Acesta descrie cerințele de rețea și enumeră adresele, porturile și protocoalele utilizate pentru conectarea punctelor finale la servicii.
Cerințe de rețea pentru instanța dedicată
Instanța dedicată Webex Calling face parte din portofoliul Cisco Cloud Calling, alimentat de tehnologia de colaborare Cisco Unified Communications Manager (Cisco Unified CM). Instanța dedicată oferă soluții de voce, video, mesagerie și mobilitate cu caracteristicile și beneficiile telefoanelor Cisco IP, dispozitivelor mobile și clienților desktop care se conectează în siguranță la Instanța dedicată.
Acest articol este destinat administratorilor de rețea, în special administratorilor de firewall și de securitate proxy care doresc să utilizeze instanța dedicată în cadrul organizației lor.
Prezentare generală a securității: Securitate în straturi
Instanța dedicată utilizează o abordare stratificată pentru securitate. Straturile includ:
-
acces Fizic
-
Rețea
-
Puncte finale
-
aplicații UC
Următoarele secțiuni descriu straturile de securitate din implementările instanței dedicate.
Securitate fizică
Este important să se asigure securitatea fizică a locațiilor Equinix Meet-Me Room și a facilităților Cisco Dedicated Instance Data Center. Atunci când securitatea fizică este compromisă, pot fi inițiate atacuri simple, cum ar fi întreruperea serviciului prin oprirea alimentării la comutatoarele unui client. Cu acces fizic, atacatorii pot avea acces la dispozitivele serverului, pot reseta parolele și pot obține acces la comutatoare. Accesul fizic facilitează, de asemenea, atacuri mai sofisticate, cum ar fi atacurile man-in-the-middle, motiv pentru care al doilea nivel de securitate, securitatea rețelei, este critic.
Unitățile de autocriptare sunt utilizate în centrele de date ale instanței dedicate care găzduiesc aplicații UC.
Pentru mai multe informații despre practicile generale de securitate, consultați documentația de la următoarea locație: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
securitate Rețea
Partenerii trebuie să se asigure că toate elementele de rețea sunt securizate în infrastructura Instance Dedicated (care se conectează prin Equinix). Este responsabilitatea partenerului să asigure cele mai bune practici de securitate, cum ar fi:
-
Separați VLAN pentru voce și date
-
Activați securitatea portului, care limitează numărul de adrese MAC permise per port, împotriva inundării tabelului CAM
-
Garda sursă IP împotriva adreselor IP spoofed
-
Inspecția dinamică ARP (DAI) examinează protocolul de rezoluție a adreselor (ARP) și ARP gratuit (GARP) pentru încălcări (împotriva spoofing ARP)
-
802.1x limitează accesul la rețea al dispozitivelor de autentificare pe VLAN-urile atribuite (telefoanele acceptă 802.1x)
-
Configurarea calității serviciului (QoS) pentru marcarea corespunzătoare a pachetelor vocale
-
Configurațiile porturilor de firewall pentru blocarea oricărui alt trafic
securitate puncte finale
Punctele finale Cisco acceptă caracteristici de securitate implicite, cum ar fi firmware semnat, boot securizat (modele selectate), certificat instalat de producător (MIC) și fișiere de configurare semnate, care oferă un anumit nivel de securitate pentru punctele finale.
În plus, un partener sau un client poate activa securitate suplimentară, cum ar fi:
-
Criptați serviciile de telefonie IP (prin HTTPS) pentru servicii precum Extension Mobility
-
Eliberați certificate semnificative la nivel local (LCS) de la funcția de delegare a autorității certificatului (CAPF) sau de la o autoritate publică de certificare (CA)
-
Criptați fișierele de configurare
-
Criptați media și semnalizarea
-
Dezactivați aceste setări dacă nu sunt utilizate: port PC, PC Voice VLAN Acces, ARP gratuit, Acces web, buton de setări, SSH, consola
Implementarea mecanismelor de securitate în instanța dedicată previne furtul de identitate al telefoanelor și al serverului Unified CM, tamperarea datelor și tamperarea semnalizării apelurilor / fluxului media.
Instanță dedicată în rețea:
-
Stabilește și menține fluxuri de comunicare autentificate
-
Semnează digital fișierele înainte de a transfera fișierul la telefon
-
Criptați fluxurile media și semnalizarea apelurilor între telefoanele Cisco Unified IP
Securitatea oferă în mod implicit următoarele caracteristici de securitate automată pentru telefoanele Cisco Unified IP:
-
Semnarea fișierelor de configurare a telefonului
-
Asistență pentru criptarea fișierelor de configurare a telefonului
-
HTTPS cu Tomcat și alte servicii web (MIDlets)
Pentru versiunea Unified CM 8.0 ulterioară, aceste caracteristici de securitate sunt furnizate în mod implicit fără a rula clientul Certificate Trust List (CTL).
serviciu de verificare a încrederiiDeoarece există un număr mare de telefoane într-o rețea și telefoanele IP au o memorie limitată, Cisco Unified CM acționează ca un magazin de încredere la distanță prin Serviciul de verificare a încrederii (TVS), astfel încât un magazin de încredere certificat nu trebuie plasat pe fiecare telefon. Telefoanele Cisco IP contactează serverul TVS pentru verificare, deoarece nu pot verifica o semnătură sau un certificat prin fișiere CTL sau ITL. Având un magazin central de încredere este mai ușor de gestionat decât având magazinul de încredere pe fiecare telefon Cisco Unified IP.
TVS permite telefoanelor Cisco Unified IP să autentifice serverele de aplicații, cum ar fi serviciile EM, directorul și MIDlet, în timpul setării HTTPS.
listă inițială de încredereFișierul Listă de încredere inițială (ITL) este utilizat pentru securitatea inițială, astfel încât punctele finale să poată avea încredere în Cisco Unified CM. ITL nu are nevoie de nicio caracteristică de securitate pentru a fi activată în mod explicit. Fișierul ITL este creat automat atunci când este instalat clusterul. Cheia privată a serverului Unified CM Trivial File Transfer Protocol (TFTP) este utilizată pentru a semna fișierul ITL.
Când clusterul sau serverul Cisco Unified CM este în modul nesigur, fișierul ITL este descărcat pe fiecare telefon Cisco IP acceptat. Un partener poate vizualiza conținutul unui fișier ITL utilizând comanda CLI, admin: arată itl.
Telefoanele Cisco IP au nevoie de fișierul ITL pentru a efectua următoarele sarcini:
-
Comunicați în siguranță la CAPF, o condiție prealabilă pentru susținerea criptării fișierului de configurare
-
Autentificați semnătura fișierului de configurare
-
Autentificați serverele de aplicații, cum ar fi serviciile EM, directorul și MIDlet în timpul setării HTTPS utilizând TVS
Autentificarea dispozitivului, a fișierului și a semnalizării se bazează pe crearea fișierului Certificate Trust List (CTL), care este creat atunci când partenerul sau clientul instalează și configurează Cisco Certificate Trust List Client.
Fișierul CTL conține intrări pentru următoarele servere sau tokenuri de securitate:
-
Token de securitate al administratorului de sistem (SAST)
-
Servicii Cisco CallManager și Cisco TFTP care rulează pe același server
-
Funcția delegată a autorității certificatului (CAPF)
-
server(i) TFTP
-
firewall ASA
Fișierul CTL conține un certificat de server, o cheie publică, număr de serie, semnătura, numele emitentului, numele subiectului, funcția serverului, numele DNS și adresa IP pentru fiecare server.
Securitatea telefonului cu CTL oferă următoarele funcții:
-
Autentificarea fișierelor TFTP descărcate (configurație, listă locală, ringlist și așa mai departe) utilizând o cheie de conectare
-
Criptarea fișierelor de configurare TFTP utilizând o cheie de conectare
-
Semnalizare apel criptat pentru telefoanele IP
-
Audio de apel criptat (media) pentru telefoanele IP
Instanța dedicată oferă înregistrarea punctului final și procesarea apelurilor. Semnalizarea dintre Cisco Unified CM și punctele finale se bazează pe protocolul de control securizat al clienților Skinny (SCCP) sau protocolul de inițiere sesiuni (SIP) și poate fi criptată folosind securitatea stratului de transport (TLS). Mass-media de la/la punctele finale se bazează pe Protocolul de transport în timp real (RTP) și poate fi, de asemenea, criptat folosind Secure RTP (SRTP).
Activarea modului mixt pe Unified CM permite criptarea traficului de semnalizare și media de la și până la punctele finale Cisco.
Aplicații UC securizate
Activarea modului mixt în instanță dedicatăModul mixt este activat în mod implicit în instanță dedicată.
Activarea modului mixt în instanță dedicată permite capacitatea de a efectua criptarea traficului de semnalizare și media de la și până la punctele finale Cisco.
În versiunea Cisco Unified CM 12.5(1), pentru clienții Jabber și Webex a fost adăugată o nouă opțiune pentru a permite criptarea semnalizării și a mass-mediei pe baza SIP OAuth în loc de modul mixt / CTL. Prin urmare, în versiunea Unified CM 12.5(1), SIP OAuth și SRTP pot fi utilizate pentru a activa criptarea pentru semnalizare și media pentru clienții Jabber sau Webex. Activarea modului mixt este în continuare necesară pentru telefoanele Cisco IP și pentru alte puncte finale Cisco în acest moment. Există un plan de a adăuga suport pentru SIP OAuth în 7800/8800 puncte finale într-o versiune viitoare.
securitate mesagerie vocalăCisco Unity Connection se conectează la Unified CM prin portul TLS. Atunci când modul de securitate al dispozitivului nu este securizat, Cisco Unity Connection se conectează la Unified CM prin portul SCCP.
Pentru a configura securitatea pentru porturile de mesagerie vocală Unified CM și dispozitivele Cisco Unity care rulează SCCP sau dispozitivele Cisco Unity Connection care rulează SCCP, un partener poate alege un mod securizat de securitate a dispozitivului pentru port. Dacă alegeți un port de mesagerie vocală autentificat, se deschide o conexiune TLS, care autentifică dispozitivele utilizând un schimb de certificate reciproce (fiecare dispozitiv acceptă certificatul celuilalt dispozitiv). Dacă alegeți un port de mesagerie vocală criptat, sistemul autentifică mai întâi dispozitivele și apoi trimite fluxuri vocale criptate între dispozitive.
Pentru mai multe informații despre porturile de mesagerie vocală de securitate, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified⁺ SU1_chapter_010001.html
Securitate pentru SRST, Trunks, Gateways, CUBE/SBC
Un gateway cu Cisco Unified Survivable Remote Site Telephony (SRST) oferă sarcini limitate de procesare a apelurilor dacă Cisco Unified CM din instanța dedicată nu poate finaliza apelul.
Gateway-urile securizate cu SRST conțin un certificat semnat. După ce un partener îndeplinește sarcini de configurare SRST în Unified CM Administration, Unified CM utilizează o conexiune TLS pentru a se autentifica cu serviciul Certificate Provider în gateway-ul cu SRST. Unified CM preia apoi certificatul din gateway-ul cu SRST și adaugă certificatul la baza de date Unified CM.
După ce partenerul resetează dispozitivele dependente din Unified CM Administration, serverul TFTP adaugă certificatul de gateway cu SRST la fișierul cnf.xml al telefonului și trimite fișierul la telefon. Un telefon securizat utilizează apoi o conexiune TLS pentru a interacționa cu gateway-ul cu SRST.
Se recomandă să aveți trunchiuri securizate pentru apelul care provine de la Cisco Unified CM la gateway-ul pentru apelurile PSTN de ieșire sau care trec prin elementul de frontieră Cisco Unified (CUBE).
Trunchiurile SIP pot sprijini apelurile securizate atât pentru semnalizare, cât și pentru media; TLS oferă criptare de semnalizare și SRTP oferă criptare media.
Securizarea comunicațiilor între Cisco Unified CM și CUBE
Pentru comunicări securizate între Cisco Unified CM și CUBE, partenerii/clienții trebuie să utilizeze fie certificate semnate automat, fie certificate semnate CA.
Pentru certificatele autosemnate:
-
CUBE și Cisco Unified CM generează certificate autosemnate
-
Certificat de export CUBE la Cisco Unified CM
-
Certificatul de export Cisco Unified CM către CUBE
Pentru certificatele semnate CA:
-
Clientul generează o pereche de chei și trimite o cerere de semnare a certificatului (CSR) Autorității certificatului (CA)
-
CA-ul semnează cu cheia sa privată, creând un certificat de identitate
-
Clientul instalează lista certificatelor de origine și intermediare CA de încredere și certificatul de identitate
Securitate pentru puncte finale la distanță
Cu punctele finale de acces mobil și la distanță (MRA), semnalizarea și mass-media sunt întotdeauna criptate între punctele finale MRA și nodurile Expressway. Dacă protocolul de stabilire a conectivității interactive (ICE) este utilizat pentru punctele finale MRA, este necesară semnalizarea și criptarea mediatică a punctelor finale MRA. Cu toate acestea, criptarea semnalizării și a mijloacelor de comunicare între Expressway-C și serverele interne Unified CM, punctele finale interne sau alte dispozitive interne necesită modul mixt sau SIP OAuth.
Cisco Expressway oferă asistență transversală și laterală pentru firewall securizată pentru înregistrările Unified CM. Unified CM asigură controlul apelurilor atât pentru terminalele mobile, cât și pentru cele locale. Semnalizarea traversează soluția Expressway între punctul final de la distanță și Unified CM. Mass-media traversează soluția Expressway și este transmisă direct între punctele finale. Toate mass-media sunt criptate între Expressway-C și terminalul mobil.
Orice soluție MRA necesită Expressway și Unified CM, cu clienți software compatibili cu MRA și/sau puncte finale fixe. Soluția poate include opțional serviciul IM și serviciul de prezență și conexiunea la unitate.
Sinteza protocolului
Următorul tabel prezintă protocoalele și serviciile asociate utilizate în soluția Unified CM.
Protocol |
Securitate |
Serviciu |
---|---|---|
SIP |
TLS |
Stabilirea sesiunii: Înregistrare, invitație etc. |
https |
TLS |
Conectare, configurare/configurare, director, poștă vocală vizuală |
Media |
srtp |
Mass-media: Partajare audio, video, conținut |
xmpp |
TLS |
Mesagerie instantanee, Prezență, Federație |
Pentru mai multe informații despre configurația MRA, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opțiuni de configurare
Instanța dedicată oferă partenerilor flexibilitatea de a personaliza serviciile pentru utilizatorii finali prin controlul complet al celor două configurații ale zilei. Prin urmare, Partenerul este singurul responsabil pentru configurarea corespunzătoare a serviciului de instanță dedicată pentru mediul utilizatorului final. Aceasta include, dar nu se limitează la:
-
Alegerea apelurilor securizate/nesecurizate, a protocoalelor securizate/nesecurizate, cum ar fi SIP/sSIP, http/https etc. și înțelegerea oricăror riscuri asociate.
-
Pentru toate adresele MAC care nu sunt configurate ca SIP securizate în instanță dedicată, un atacator poate trimite mesajul de înregistrare SIP utilizând acea adresă MAC și poate efectua apeluri SIP, ducând la fraudă cu taxă. Percheziția este că atacatorul își poate înregistra dispozitivul SIP/software-ul la instanța dedicată fără autorizare dacă știe adresa MAC a unui dispozitiv înregistrat în instanța dedicată.
-
Politicile de apelare Expressway-E, de transformare și regulile de căutare ar trebui să fie configurate pentru a preveni frauda cu taxă. Pentru mai multe informații despre prevenirea fraudei cu taxă folosind Expressways, consultați secțiunea Securitate pentru Expressway C și Expressway-E din Collaboration SRND.
-
Configurarea planului de apelare pentru a se asigura că utilizatorii pot apela numai destinații care sunt permise, de exemplu, interzicerea apelării naționale/internaționale, rutarea corectă a apelurilor de urgență etc. Pentru mai multe informații despre aplicarea restricțiilor cu ajutorul planului de apelare, consultați secțiunea Plan de apelare din SRND Collaboration.
Cerințe de certificat pentru conexiuni securizate în instanță dedicată
Pentru instanța dedicată, Cisco va furniza domeniul și va semna toate certificatele pentru aplicațiile UC utilizând o autoritate publică de certificare (CA).
Instanță dedicată – numere de port și protocoale
Următoarele tabele descriu porturile și protocoalele care sunt acceptate în instanța dedicată. Porturile care sunt utilizate pentru un anumit client depind de implementarea și soluția clientului. Protocoalele depind de preferința clientului (SCCP vs SIP), de dispozitivele locale existente și de nivelul de securitate pentru a determina porturile care urmează să fie utilizate în fiecare implementare.
Instanța dedicată nu permite traducerea adresei de rețea (NAT) între punctele finale și Unified CM, deoarece unele dintre caracteristicile fluxului de apeluri nu vor funcționa, de exemplu, caracteristica de la mijlocul apelului. |
Instanță dedicată – Porturi pentru clienți
Porturile disponibile pentru clienți - între clientul local și instanța dedicată este prezentată în Tabelul 1 Porturile pentru clienții instanței dedicate. Toate porturile enumerate mai jos sunt pentru traficul de clienți care traversează linkurile de navigație.
Portul SNMP este deschis în mod implicit numai pentru Cisco Emergency Responder pentru a-și susține funcționalitatea. Deoarece nu sprijinim partenerii sau clienții care monitorizează aplicațiile UC implementate în cloud-ul Instanței dedicate, nu permitem deschiderea portului SNMP pentru alte aplicații UC. |
Porturile din intervalul 5063 - 5080 sunt rezervate de Cisco pentru alte integrări în cloud, se recomandă partenerilor sau administratorilor de clienți să nu utilizeze aceste porturi în configurațiile lor. |
Protocol |
TCP/UDP |
Sursă |
Destinație |
Port sursă |
Port de destinație |
Scop | ||
---|---|---|---|---|---|---|---|---|
ssh |
TCP |
Client |
aplicații UC
|
Mai mare de 1023 |
22 |
Administrare |
||
tftp |
UDP |
Terminal |
Unified CM |
Mai mare de 1023 |
69 |
Asistență punct final moștenit |
||
LDAP |
TCP |
aplicații UC |
Director extern |
Mai mare de 1023 |
389 |
Sincronizare director la LDAP client |
||
https |
TCP |
Browser |
aplicații UC |
Mai mare de 1023 |
443 |
Acces web pentru interfețe de auto-îngrijire și administrative |
||
Poștă de ieșire (SECURE) |
TCP |
Aplicația UC |
CUCxn |
Mai mare de 1023 |
587 |
Folosit pentru a compune și trimite mesaje securizate către orice destinatar desemnat |
||
ldap (securizat) |
TCP |
aplicații UC |
Director extern |
Mai mare de 1023 |
636 |
Sincronizare director la LDAP client |
||
h323 |
TCP |
Gateway |
Unified CM |
Mai mare de 1023 |
1720 |
Semnalizare apel |
||
h323 |
TCP |
Unified CM |
Unified CM |
Mai mare de 1023 |
1720 |
Semnalizare apel |
||
sccp |
TCP |
Terminal |
Unified CM, CUCxn |
Mai mare de 1023 |
2000 |
Semnalizare apel |
||
sccp |
TCP |
Unified CM |
Unified CM, Gateway |
Mai mare de 1023 |
2000 |
Semnalizare apel |
||
mgcp |
UDP |
Gateway |
Gateway |
Mai mare de 1023 |
2427 |
Semnalizare apel |
||
Backhaul MGCP |
TCP |
Gateway |
Unified CM |
Mai mare de 1023 |
2428 |
Semnalizare apel |
||
sccp (securizat) |
TCP |
Terminal |
Unified CM, CUCxn |
Mai mare de 1023 |
2443 |
Semnalizare apel |
||
sccp (securizat) |
TCP |
Unified CM |
Unified CM, Gateway |
Mai mare de 1023 |
2443 |
Semnalizare apel |
||
Verificare încredere |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
2445 |
Furnizarea serviciului de verificare a încrederii către punctele finale |
||
Cti |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
2748 |
Conexiune între aplicațiile CTI (JTAPI/TSP) și CTIManager |
||
Secure CTI |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
2749 |
Conexiune securizată între aplicațiile CTI (JTAPI/TSP) și CTIManager |
||
Catalog global LDAP |
TCP |
Aplicații UC |
Director extern |
Mai mare de 1023 |
3268 |
Sincronizare director la LDAP client |
||
Catalog global LDAP |
TCP |
Aplicații UC |
Director extern |
Mai mare de 1023 |
3269 |
Sincronizare director la LDAP client |
||
Serviciu CAPF |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
3804 |
Portul de ascultare pentru emiterea certificatelor de importanță locală (LSC) către telefoanele IP al Autorității de certificare (CAPF) |
||
SIP |
TCP |
Terminal |
Unified CM, CUCxn |
Mai mare de 1023 |
5060 |
Semnalizare apel |
||
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Mai mare de 1023 |
5060 |
Semnalizare apel |
||
sip (securizat) |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
5061 |
Semnalizare apel |
||
sip (securizat) |
TCP |
Unified CM |
Unified CM, Gateway |
Mai mare de 1023 |
5061 |
Semnalizare apel |
||
sip (oauth) |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
5090 |
Semnalizare apel |
||
xmpp |
TCP |
Client Jabber |
IM&P Cisco |
Mai mare de 1023 |
5222 |
Mesagerie instantanee și prezență |
||
HTTP |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
6970 |
Descărcarea configurației și a imaginilor în punctele finale |
||
https |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
6971 |
Descărcarea configurației și a imaginilor în punctele finale |
||
https |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
6972 |
Descărcarea configurației și a imaginilor în punctele finale |
||
HTTP |
TCP |
Client Jabber |
CUCxn |
Mai mare de 1023 |
7080 |
Notificări prin poștă vocală |
||
https |
TCP |
Client Jabber |
CUCxn |
Mai mare de 1023 |
7443 |
Notificări de poștă vocală securizate |
||
https |
TCP |
Unified CM |
Unified CM |
Mai mare de 1023 |
7501 |
Utilizat de Intercluster Lookup Service (ILS) pentru autentificare pe bază de certificat |
||
https |
TCP |
Unified CM |
Unified CM |
Mai mare de 1023 |
7502 |
Utilizat de ILS pentru autentificare cu parolă |
||
imp |
TCP |
Client Jabber |
CUCxn |
Mai mare de 1023 |
7993 |
IMAP peste TLS |
||
HTTP |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
8080 |
URI-ul directorului pentru serviciul de asistență pentru terminalele moștenite |
||
https |
TCP |
Browser, punct de sfârșit |
aplicații UC |
Mai mare de 1023 |
8443 |
Acces web pentru interfețe de auto-îngrijire și administrative, UDS |
||
https |
TCP |
Telefon |
Unified CM |
Mai mare de 1023 |
9443 |
Căutare contact autentificat |
||
HTTP-uri |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
9444 |
Caracteristică de gestionare a căștilor |
||
Secure RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 până la 32767 |
16384 până la 32767 |
Media (audio) - Muzică în așteptare, Anunț, Software Conference Bridge (Deschis pe baza semnalizării apelurilor) |
||
Secure RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 până la 32767 |
16384 până la 32767 |
Media (audio) - Muzică în așteptare, Anunț, Software Conference Bridge (Deschis pe baza semnalizării apelurilor) |
||
cofraje |
TCP |
Client |
CUCxn |
Mai mare de 1023 |
20532 |
Copiere de rezervă și restaurare Suită aplicație |
||
icmp |
icmp |
Terminal |
aplicații UC |
nu este cazul |
nu este cazul |
Ping |
||
icmp |
icmp |
aplicații UC |
Terminal |
nu este cazul |
nu este cazul |
Ping |
||
DNS | UDP și TCP |
redirecționare DNS |
Servere DNS instanță dedicată |
Mai mare de 1023 |
53 |
Client Premise redirecționează DNS către serverele DNS dedicate instanței. Consultați cerințele DNS pentru mai multe informații. |
||
* Anumite cazuri speciale pot folosi un interval mai mare. |
Instanță dedicată – porturile OTT
Următorul port poate fi utilizat de către clienții și partenerii de configurare pentru acces mobil și la distanță (MRA):
Protocol |
tcp/ucp |
Sursă |
Destinație |
Port sursă |
Port de destinație |
Scop |
---|---|---|---|---|---|---|
rtp/rtcp securizat |
UDP |
Expressway C |
Client |
Mai mare de 1023 |
36000-59999 |
Medii securizate pentru apelurile MRA și B2B |
Trunchi SIP interactiv între instanță multiplă și instanță dedicată (numai pentru trunchi bazat pe înregistrare)
Următoarea listă de porturi trebuie să fie permisă pe firewall-ul clientului pentru trunchiul SIP bazat pe înregistrare care se conectează între Multitant și instanța dedicată.
Protocol |
tcp/ucp |
Sursă |
Destinație |
Port sursă |
Port de destinație |
Scop |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Multitent Webex Calling |
Client |
Mai mare de 1023 |
8000-48198 |
Mass-media de la Webex Calling Multitant |
Instanță dedicată – Porturile UCCX
Următoarea listă de porturi poate fi utilizată de Clienți și Parteneri pentru configurarea UCCX.
Protocol |
tcp / ucp |
Sursă |
Destinație |
Port sursă |
Port de destinație |
Scop |
---|---|---|---|---|---|---|
ssh |
TCP |
Client |
uccx |
Mai mare de 1023 |
22 |
SFTP și SSH |
amestec de informații |
TCP |
Client sau server |
uccx |
Mai mare de 1023 |
1504 |
port bază de date Contact Center Express |
SIP |
UDP și TCP |
server SIP GW sau MCRP |
uccx |
Mai mare de 1023 |
5065 |
Comunicare către nodurile GW și MCRP de la distanță |
xmpp |
TCP |
Client |
uccx |
Mai mare de 1023 |
5223 |
Conexiune XMPP securizată între serverul Finesse și aplicațiile personalizate ale terților |
cvd |
TCP |
Client |
uccx |
Mai mare de 1023 |
6999 |
Editor pentru aplicații CCX |
https |
TCP |
Client |
uccx |
Mai mare de 1023 |
7443 |
Conexiune BOSH securizată între serverul Finesse și desktopurile agent și supervizor pentru comunicarea prin HTTPS |
HTTP |
TCP |
Client |
uccx |
Mai mare de 1023 |
8080 |
Clienții care raportează date live se conectează la un server socket.IO |
HTTP |
TCP |
Client |
uccx |
Mai mare de 1023 |
8081 |
Browserul clientului încearcă să acceseze interfața web Cisco Unified Intelligence Center |
HTTP |
TCP |
Client |
uccx |
Mai mare de 1023 |
8443 |
Administrator GUI, RTMT, acces DB prin SOAP |
https |
TCP |
Client |
uccx |
Mai mare de 1023 |
8444 |
interfață web Cisco Unified Intelligence Center |
https |
TCP |
Clienți browser și REST |
uccx |
Mai mare de 1023 |
8445 |
Port securizat pentru Finesse |
https |
TCP |
Client |
uccx |
Mai mare de 1023 |
8447 |
HTTPS - ajutor online Unified Intelligence Center |
https |
TCP |
Client |
uccx |
Mai mare de 1023 |
8553 |
Componentele de conectare unică (SSO) accesează această interfață pentru a cunoaște starea de funcționare a Cisco IdS. |
HTTP |
TCP |
Client |
uccx |
Mai mare de 1023 |
9080 |
Clienții care încearcă să acceseze declanșatoare HTTP sau documente / solicitări / grammars / date live. |
https |
TCP |
Client |
uccx |
Mai mare de 1023 |
9443 |
Portul securizat utilizat pentru a răspunde clienților care încearcă să acceseze declanșatoarele HTTPS |
TCP |
TCP |
Client |
uccx |
Mai mare de 1023 |
12014 |
Acesta este portul în care clienții de raportare a datelor live se pot conecta la serverul socket.IO |
TCP |
TCP |
Client |
uccx |
Mai mare de 1023 |
12015 |
Acesta este portul în care clienții de raportare a datelor live se pot conecta la serverul socket.IO |
Cti |
TCP |
Client |
uccx |
Mai mare de 1023 |
12028 |
Client CTI terț la CCX |
RTP (Media) |
TCP |
Terminal |
uccx |
Mai mare de 1023 |
Mai mare de 1023 |
Portul media este deschis dinamic, după cum este necesar |
RTP (Media) |
TCP |
Client |
Terminal |
Mai mare de 1023 |
Mai mare de 1023 |
Portul media este deschis dinamic, după cum este necesar |
securitate Client
Securizarea Jabber și Webex cu SIP OAuth
Clienții Jabber și Webex sunt autentificați printr-un token OAuth în loc de un certificat semnificativ local (LSC), care nu necesită funcția de delegare a autorității certificatului (CAPF) activată (și pentru MRA). SIP OAuth care lucrează cu sau fără mod mixt a fost introdus în Cisco Unified CM 12.5(1), Jabber 12.5 și Expressway X12.5.
În Cisco Unified CM 12.5, avem o nouă opțiune în profilul de securitate a telefonului care permite criptarea fără LSC/CAPF, utilizând un singur nivel de securitate a stratului de transport (TLS) + token-ul OAuth în SIP REGISTER. Nodurile Expressway-C utilizează API-ul Administrativ XML Web Service (AXL) pentru a informa Cisco Unified CM despre SN/SAN în certificatul lor. Cisco Unified CM utilizează aceste informații pentru a valida certitudinea Exp-C la stabilirea unei conexiuni TLS reciproce.
SIP OAuth permite criptarea media și semnalizarea fără un certificat de punct final (LSC).
Cisco Jabber utilizează porturile Ephemeral și porturile securizate 6971 și 6972 prin conexiunea HTTPS la serverul TFTP pentru a descărca fișierele de configurare. Port 6970 este un port non-securizat pentru descărcare prin HTTP.
Mai multe detalii despre configurația SIP OAuth: Modul SIP OAuth.
cerințe DNS
Pentru instanța dedicată, Cisco furnizează FQDN pentru serviciul din fiecare regiune cu următorul format <client>.<region>.wxc-di.webex.com , de exemplu, xyz.amer.wxc-di.webex.com.
Valoarea „client” este furnizată de administrator ca parte a Asistentului pentru prima configurare (FTSW). Pentru mai multe informații, consultați Activarea serviciului instanță dedicată.
Înregistrările DNS pentru acest FQDN trebuie să poată fi rezolvate de pe serverul DNS intern al clientului pentru a sprijini dispozitivele locale care se conectează la instanța dedicată. Pentru a facilita rezoluția, clientul trebuie să configureze un Furnizor Condițional, pentru acest FQDN, pe serverul DNS care indică serviciul DNS al instanței dedicate. Serviciul DNS al instanței dedicate este regional și poate fi accesat, prin conectarea la instanța dedicată, utilizând următoarele adrese IP, după cum se menționează în tabelul de mai jos Adresa IP a serviciului DNS al instanței dedicate.
Regiune/DC | Adresă IP serviciu DNS instanță dedicată |
Exemplu de redirecționare condiționată |
---|---|---|
AMER |
<client>.amer.wxc-di.webex.com | |
sjc |
69.168.17.100 |
|
dfw |
69.168.17.228 |
|
EMEA |
<client>.emea.wxc-di.webex.com |
|
congestivă |
178.215.138.100 |
|
asocieri |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
între |
178.215.131.100 |
|
asocieri |
178.215.131.228 |
|
APJC |
<client>.apjc.wxc-di.webex.com |
|
fără |
103.232.71.100 |
|
tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Calea de administrare |
178.215.128.100 |
|
syd |
178.215.128.228 |
Opțiunea ping este dezactivată pentru adresele IP ale serverului DNS menționate mai sus din motive de securitate. |
Până la implementarea redirecționării condiționate, dispozitivele nu vor putea să se înregistreze la instanța dedicată din rețeaua internă a clienților prin intermediul linkurilor peering. Redirecționarea condiționată nu este necesară pentru înregistrare prin Mobile and Remote Access (MRA), deoarece toate înregistrările DNS externe necesare pentru a facilita MRA vor fi preconfigurate de Cisco.
Când utilizați aplicația Webex ca client soft de apelare în instanța dedicată, trebuie configurat un profil UC Manager în Control Hub pentru domeniul de servicii vocale din fiecare regiune (VSD). Pentru mai multe informații, consultați Profilurile UC Manager din Cisco Webex Control Hub. Aplicația Webex va putea rezolva automat Expressway Edge al clientului fără nicio intervenție a utilizatorului final.
Domeniul Serviciului de voce va fi furnizat clientului ca parte a documentului de acces al partenerului după finalizarea activării serviciului. |
Utilizați un router local pentru rezoluția DNS telefonică
Pentru telefoanele care nu au acces la serverele DNS corporative, este posibil să se utilizeze un router local Cisco pentru a redirecționa solicitările DNS către DNS cloud Instanță dedicată. Acest lucru elimină necesitatea de a implementa un server DNS local și oferă suport DNS complet, inclusiv cache-ul.
Exemplu de configurare :
!
server IP dns
server de nume IP <DI DNS Server IP DC1> <DI DNS Server IP DC2>
!
Utilizarea DNS în acest model de implementare este specifică telefoanelor și poate fi utilizată numai pentru rezolvarea domeniului FQDN de la instanța dedicată clienților. |
Referințe
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), Subiect de securitate: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Ghid de securitate pentru Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html