Cerințe de rețea pentru instanța dedicată

Webex Calling Dedicated Instance face parte din portofoliul Cisco Cloud Calling, bazat pe tehnologia de colaborare Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance oferă soluții de voce, video, mesagerie și mobilitate cu caracteristicile și avantajele telefoanelor Cisco IP , dispozitivelor mobile și clienților desktop care se conectează în siguranță la instanța dedicată.

Acest articol se adresează administratorilor de rețea, în special administratorilor de securitate firewall și proxy, care doresc să utilizeze instanța dedicată în cadrul organizației lor.

Prezentare generală a securității: Securitate în straturi

Instanță dedicată utilizează o abordare stratificată pentru securitate. Straturile includ:

  • Acces fizic

  • Rețea

  • Puncte finale

  • Aplicații UC

Următoarele secțiuni descriu straturile de securitate din Instanță dedicată implementări.

Securitate fizică

Este important să se asigure securitate fizică locațiilor din Equinix Meet-Me Room și Cisco Instanță dedicată Facilități centru de date. Atunci când securitatea fizică este compromisă, pot fi inițiate atacuri simple, cum ar fi întreruperea serviciului prin oprirea alimentării la switch-urile unui client. Cu acces fizic, atacatorii ar putea avea acces la dispozitivele server, pot reseta parolele și pot obține acces la switch-uri. Accesul fizic facilitează, de asemenea, atacuri mai sofisticate, cum ar fi atacurile man-in-the-middle, motiv pentru care al doilea nivel de securitate, securitatea rețelei, este critic.

Unitățile cu autocriptare sunt utilizate în Instanță dedicată Centre de date care găzduiesc aplicații UC.

Pentru mai multe informații despre practicile generale de securitate, consultați documentația de la următoarea locație: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

securitate Rețea

Partenerii trebuie să se asigure că toate elementele rețelei sunt securizate Instanță dedicată infrastructură (care se conectează prin Equinix). Este responsabilitatea partenerului să asigure cele mai bune practici de securitate, cum ar fi:

  • VLAN separat pentru voce și date

  • Activați Port Security, care limitează numărul de adrese MAC permise per port, împotriva inundațiilor tabelului CAM

  • Protecție sursă IP împotriva adreselor IP falsificate

  • Inspecția dinamică ARP (DAI) examinează protocolul de rezoluție a adresei (ARP) și ARP gratuit (GARP) pentru încălcări (împotriva falsificării ARP)

  • 802.1x limitează accesul la rețea pentru a autentifica dispozitivele de pe VLAN-urile alocate (telefoanele acceptă 802.1x )

  • Configurarea calității serviciului (QoS) pentru marcarea corespunzătoare a pachetelor vocale

  • Configurații porturi firewall pentru blocarea oricărui alt trafic

securitate puncte finale

Punctele finale Cisco acceptă caracteristici de securitate implicite, cum ar fi firmware-ul semnat, pornirea securizată (anumite modele), certificatul instalat de producător (MIC) și fișierele de configurare semnate, care oferă un anumit nivel de securitate pentru punctele finale.

În plus, un partener sau un client poate activa securitate suplimentară, cum ar fi:

  • Criptare servicii de telefon IP (prin HTTPS) pentru servicii precum Extension Mobility

  • Emiteți certificate semnificative la nivel local (LSC) de la funcție delegată a autorității certificatului (CAPF) sau o autoritate de certificare publică (CA)

  • Criptare fișiere de configurare

  • Criptare media și semnalizare

  • Dezactivați aceste setări dacă nu sunt utilizate: port PC PC , Acces VLAN voce PC , ARP gratuit, Acces Web , buton Setări, SSH, consolă

Implementarea mecanismelor de securitate în Instanță dedicată previne furtul de identitate a telefoanelor și a Server Unified CM, manipularea datelor și manipularea semnalizării apelurilor / a fluxului media.

Instanță dedicată prin rețea:

  • Stabilește și menține fluxuri de comunicare autentificate

  • Semnează digital fișierele înainte de a transfera fișierul pe telefon

  • Criptează fluxurile media și semnalizarea apelurilor între telefoanele Cisco Unified IP

Configurare de securitate implicită

Securitatea oferă în mod implicit următoarele caracteristici automate de securitate pentru telefoanele Cisco Unified IP :

  • Semnarea fișierelor de configurație telefon

  • Suport pentru criptarea fișierului de configurație telefon

  • HTTPS cu Tomcat și alte servicii Web (MIDlet-uri)

Pentru Unified CM versiunea 8.0 ulterioară, aceste caracteristici de securitate sunt furnizate implicit fără a rula clientul Certificate Trust List (CTL).

serviciu de verificare a încrederii

Deoarece există un număr mare de telefoane într-o rețea și telefoanele IP au memorie limitată, Cisco Unified CM acționează ca un depozit de încredere la distanță prin Serviciul de verificare a încrederii (TVS), astfel încât să nu fie necesar să se plaseze un depozit de încredere cu certificate pe fiecare telefon. Telefoanele Cisco IP contactează serverul TVS pentru verificare, deoarece nu pot verifica o semnătură sau un certificat prin fișierele CTL sau ITL. Este mai ușor de gestionat să aveți un depozit de încredere centralizat decât un depozit de încredere pe fiecare telefon IP Cisco Unified .

TVS le permite telefoanelor Cisco Unified IP să autentifice serverele de aplicații, cum ar fi serviciile EM , directory și MIDlet, în timpul instalării HTTPS.

listă inițială de încredere

Fișierul Initial Trust List (ITL) este utilizat pentru securitatea inițială, astfel încât punctele finale să aibă încredere în Cisco Unified CM. ITL nu are nevoie de funcții de securitate pentru a fi activate în mod explicit. Fișierul ITL este creat automat când clusterul este instalat. Cheia privată a serverului TFTP ( Unified CM Trivial File Transfer Protocol) este utilizată pentru a semna fișierul ITL.

Când clusterul sau serverul Cisco Unified CM este în mod securizat, fișierul ITL este descărcat pe fiecare telefon Cisco telefon IP acceptat. Un partener poate vizualiza conținutul unui fișier ITL utilizând comandă CLI, admin:show itl.

Telefoanele Cisco IP au nevoie de fișierul ITL pentru a efectua următoarele operații:

  • Comunicați în siguranță cu CAPF, o condiție prealabilă pentru acceptarea criptării fișier de configurare

  • Autentificați semnătura fișier de configurare

  • Autentificați serverele de aplicații, cum ar fi serviciile EM , directory și MIDlet în timpul stabilirii HTTPS, utilizând TVS

Cisco CTL

Autentificarea dispozitivului, a fișierelor și a semnalizării se bazează pe crearea fișierului CTL(Certificate Trust List), care este creat atunci când partenerul sau clientul instalează și configurează clientul Cisco Certificate Trust List.

Fișierul Fișier CTL conține intrări pentru următoarele servere sau token-uri de securitate:

  • Token de securitate administrator de sistem (SAST)

  • Servicii Cisco CallManager și Cisco TFTP care rulează pe același server

  • Funcția proxy Autoritatea certificatului (CAPF)

  • Server(e) TFTP

  • firewall ASA

Fișierul Fișier CTL conține un certificat de server, cheie publică, număr de serie, semnătură, numele emitentului, numele subiectului, funcția serverului, numele DNS și adresă IP pentru fiecare server.

Securitatea telefonului cu CTL oferă următoarele funcții:

  • Autentificarea fișierelor descărcate TFTP (configurație, setări regionale, listă de apeluri și așa mai departe) utilizând o cheie de semnare

  • Criptarea fișierelor de configurare TFTP utilizând o cheie de semnare

  • Semnalizarea apelurilor criptată pentru telefoanele IP

  • Apel audio criptat (media) pentru telefoane IP

Securitate pentru telefoanele Cisco IP în Instanță dedicată

Instanță dedicată asigură înregistrarea terminalului și procesare apeluri. Semnalizarea dintre Cisco Unified CM și puncte finale se bazează pe Secure Protocol de control client Skinny (SCCP) sau pe Protocol de inițiere sesiuni (SIP) și poate fi criptată utilizând Securitate strat de transport (TLS). Media de la/către puncte finale se bazează pe Real-time Transport Protocol (RTP) și poate fi, de asemenea, criptată prin Secure RTP (SRTP).

Activarea modului mixt pe Unified CM permite criptarea trafic media de la și către terminalele Cisco .

Aplicații UC securizate

Activarea modului mixt în instanță dedicată

Modul mixt este activată implicit în Instanță dedicată .

Se activează modul mixt în Instanță dedicată permite posibilitatea de a efectua criptarea semnalului și a trafic media de la și către terminalele Cisco .

În Cisco Unified CM versiunea 12.5(1), a fost adăugată o nouă opțiune pentru a permite criptarea semnalizării și a conținutului media pe baza SIP OAuth în loc de modul mixt / CTL pentru clienții Jabber și Webex . Prin urmare, în Unified CM versiunea 12.5(1), SIP OAuth și SRTP pot fi utilizate pentru a activa criptarea pentru semnalizare și media pentru clienții Jabber sau Webex . Activarea modului mixt continuă să fie necesară pentru telefoanele Cisco IP și alte terminale Cisco . Există un plan de a adăuga compatibilitate pentru SIP OAuth în punctele finale 7800/8800 într-o versiune viitoare.

securitate mesagerie vocală

Cisco Unity Connection se conectează la Unified CM prin portul TLS . Când modul de securitate al dispozitivului este nesecurizat, Cisco Unity Connection se conectează la Unified CM prin portul SCCP .

Pentru a configura securitatea pentru porturile de mesagerie vocală Unified CM și dispozitivele Cisco Unity care rulează SCCP sau dispozitivele Cisco Unity Connection care rulează SCCP, un partener poate alege un mod de securitate securizat al dispozitivului pentru port. Dacă alegeți un port poștă vocală autentificat , se deschide o conexiune TLS , care autentifică dispozitivele prin utilizarea unui schimb reciproc de certificate (fiecare dispozitiv acceptă certificatul celuilalt dispozitiv). Dacă alegeți un port poștă vocală criptat , sistemul autentifică mai întâi dispozitivele și apoi trimite fluxuri vocale criptate între dispozitive.

Pentru mai multe informații despre porturile de mesagerie vocală de securitate, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Securitate pentru SRST, trunkuri, gateway-uri, CUBE/SBC

Un gateway Cisco Unified Survivable Remote Site Telephony (SRST) activat oferă sarcini limitate de procesare a apelurilor dacă Cisco Unified CM este pornit Instanță dedicată nu poate finaliza apelul.

Gateway-urile securizate cu SRST conțin un certificat semnat. După ce un partener efectuează operațiuni de configurare SRST în Unified CM Administration, Unified CM utilizează o conexiune TLS pentru a se autentifica cu serviciul Certificate Provider în gateway cu SRST. Unified CM preia apoi certificatul de la gateway cu SRST și adaugă certificatul în baza de date Unified CM .

După ce partenerul resetează dispozitivele dependente în Unified CM Administration, serverul TFTP adaugă certificatul de gateway cu SRST în fișierul cnf.xml al telefonului și trimite fișierul către telefon. Un telefon securizat utilizează apoi o conexiune TLS pentru a interacționa cu gateway cu SRST.

Se recomandă să aveți trunchiuri securizate pentru apelul care provine de la Cisco Unified CM către gateway pentru apelurile PSTN de ieșire sau care traversează prin Cisco Unified Border Element (CUBE).

Trunchiurile SIP pot accepta apeluri securizate atât pentru semnalizare, cât și pentru media; TLS oferă criptare de semnalizare, iar SRTP oferă criptare media.

Securizarea comunicațiilor între Cisco Unified CM și CUBE

Pentru comunicații sigure între Cisco Unified CM și CUBE, partenerii/clienții trebuie să utilizeze certificat semnat de CA.

Pentru certificatele autosemnate:

  1. CUBE și Cisco Unified CM generează certificate autosemnate

  2. CUBE exportă certificatul către Cisco Unified CM

  3. Cisco Unified CM exportă certificatul în CUBE

Pentru certificatele semnate de CA:

  1. Clientul generează o pereche de chei și trimite o Cerere de semnare a certificatului (CSR) către Autoritatea certificatului (CA)

  2. CA semnează cu cheia sa privată, creând un Certificat de identitate

  3. Clientul instalează lista de certificate rădăcină și intermediară CA de încredere și certificatul de identitate

Securitate pentru puncte finale la distanță

Cu punctele finale cu Remote Access (MRA), semnalizarea și media sunt întotdeauna criptate între punctele finale MRA și nodurile Expressway. Dacă se utilizează protocolul ICE (Interactive Connectivity Establishment) pentru punctele finale MRA, este necesară semnalizarea și criptarea media a punctelor finale MRA. Cu toate acestea, criptarea semnalizării și a conținutului media dintre Expressway-C și serverele interne Unified CM , punctele finale interne sau alte dispozitive interne necesită modul mixt sau SIP OAuth.

Cisco Expressway oferă parcurgere securizată firewall și asistență pe linie pentru înregistrările Unified CM . Unified CM oferă control apel atât pentru terminalele mobile, cât și în rețeaua corporatistă . Semnalizarea traversează soluția Expressway între punctul final la distanță și Unified CM. Media traversează soluția Expressway și este transmisă direct între punctele finale. Toate media sunt criptate între Expressway-C și terminalul mobil.

Orice soluție MRA necesită Expressway și Unified CM, cu clienți soft și/sau terminale fixe compatibile cu MRA. Soluția poate include opțional IM și serviciu de prezență și Unity Connection.

Sinteza protocolului

Următorul tabel prezintă protocoalele și serviciile asociate utilizate în soluția Unified CM .

Tabelul 1. Protocoale și servicii asociate

Protocol

Securitate

Serviciu

SIP

TLS

Stabilirea sesiunii: Înscriere, invitație etc.

HTTPS

TLS

Conectare, Configurare/Configurare, Director, Mesagerie vocală vizuală

Media

SRTP

Mass-media: Audio, video, partajare conținut

XMPP

TLS

Mesagerie instantanee , Prezență, Federație

Pentru mai multe informații despre configurația MRA, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opțiuni de configurare

Elementul Instanță dedicată oferă Partenerului flexibilitatea de a particulariza serviciile pentru utilizatorii finali prin controlul deplin al configurațiilor din ziua a doua. Prin urmare, partenerul este singurul responsabil pentru configurarea corectă a Instanță dedicată serviciu pentru mediul utilizatorului final. Acestea includ, dar fără a se limita la:

  • Alegerea apelurilor securizate/nesecurizate, a protocoalelor securizate/nesecurizate precum SIP/sSIP, http/https etc. și înțelegerea oricăror riscuri asociate.

  • Pentru toate adresele MAC neconfigurate ca securizate- SIP in Instanță dedicată , un atacator poate trimite mesajul SIP Register utilizând acea adresă MAC și poate efectua apeluri SIP , ceea ce duce la fraudă cu taxă. Condiția este ca atacatorul să își înregistreze dispozitiv SIP la Instanță dedicată fără autorizație dacă cunosc adresă MAC a unui dispozitiv înregistrat în Instanță dedicată .

  • Politicile de apelare Expressway-E, regulile de transformare și căutare trebuie configurate pentru a preveni frauda cu taxă. Pentru mai multe informații despre prevenirea fraudei cu taxă prin Expressways, consultați secțiunea Securitate pentru Expressway C și Expressway-E din Colaborare SRND .

  • Configurarea planului de apelare pentru a se asigura că utilizatorii pot apela numai destinațiile care sunt permise, de exemplu, interzicerea apelurilor naționale/internaționale, rutarea corectă a apelurilor de urgență etc. Pentru mai multe informații despre aplicarea restricțiilor prin planul de apelare, consultați Plan de apelare secțiunea Colaborare SRND.

Cerințe de certificat pentru conexiuni securizate în instanță dedicată

Pentru instanță dedicată, Cisco va furniza domeniul și va semna toate certificatele pentru aplicațiile UC utilizând o Autoritatea certificatului (CA) publică.

Instanță dedicată – numere de port și protocoale

Următoarele tabele descriu porturile și protocoalele care sunt acceptate în Instanță dedicată. Porturile care sunt utilizate pentru un anumit client depind de implementarea și soluția clientului. Protocoalele depind de preferința clientului (SCCP vs SIP), de dispozitivele locale existente și de nivelul de securitate pentru a determina porturile care urmează să fie utilizate în fiecare implementare.


 

Instanța dedicată nu permite traducerea adresei de rețea (NAT) între punctele finale și Unified CM, deoarece unele dintre caracteristicile fluxului de apeluri nu vor funcționa, de exemplu, caracteristica de la mijlocul apelului.

Instanță dedicată – porturi client

Porturile disponibile pentru clienți - între Clientul în rețeaua corporatistă și Instanța Dedicată sunt prezentate în Tabelul 1 Porturi dedicate clientului pentru instanță . Toate porturile enumerate mai jos sunt pentru traficul clienților care traversează linkurile de peering.


 

Portul SNMP este deschis în mod implicit numai pentru Cisco Emergency Responder pentru a-și susține funcționalitatea. Deoarece nu sprijinim partenerii sau clienții care monitorizează aplicațiile UC implementate în cloud-ul Instanței dedicate, nu permitem deschiderea portului SNMP pentru alte aplicații UC.


 

Porturile din intervalul 5063 - 5080 sunt rezervate de Cisco pentru alte integrări în cloud, se recomandă partenerilor sau administratorilor de clienți să nu utilizeze aceste porturi în configurațiile lor.

Tabelul 2. Porturile pentru clienții instanței dedicate

Protocol

TCP/UDP

Sursă

Destinație

Port sursă

Port de destinație

Scop

SSH

TCP

Client

Aplicații UC


 
Nu este permis pentru aplicațiile Cisco Expressway.

Mai mare de 1023

22

Administrare

TFTP

UDP

Terminal

Unified CM

Mai mare de 1023

69

Compatibilitate cu terminale moștenite

LDAP

TCP

Aplicații UC

Director extern

Mai mare de 1023

389

Sincronizare director cu LDAP client

HTTPS

TCP

Browser

Aplicații UC

Mai mare de 1023

443

Acces Web pentru interfețe administrative și de îngrijire personală

Corespondență de ieșire (Securizat)

TCP

Aplicația UC

CUCxn

Mai mare de 1023

587

Utilizat pentru a compune și a trimite mesaje securizate către orice destinatari desemnați

LDAP (SEGURU)

TCP

Aplicații UC

Director extern

Mai mare de 1023

636

Sincronizare director cu LDAP client

H323

TCP

Gateway

Unified CM

Mai mare de 1023

1720

Semnalizarea apelurilor

H323

TCP

Unified CM

Unified CM

Mai mare de 1023

1720

Semnalizarea apelurilor

SCCP

TCP

Terminal

Unified CM, CUCxn

Mai mare de 1023

2000

Semnalizarea apelurilor

SCCP

TCP

Unified CM

Unified CM, Gateway

Mai mare de 1023

2000

Semnalizarea apelurilor

MGCP

UDP

Gateway

Gateway

Mai mare de 1023

2427

Semnalizarea apelurilor

Backhaul MGCP

TCP

Gateway

Unified CM

Mai mare de 1023

2428

Semnalizarea apelurilor

SCCP (SIGUR)

TCP

Terminal

Unified CM, CUCxn

Mai mare de 1023

2443

Semnalizarea apelurilor

SCCP (SIGUR)

TCP

Unified CM

Unified CM, Gateway

Mai mare de 1023

2443

Semnalizarea apelurilor

Verificarea încrederii

TCP

Terminal

Unified CM

Mai mare de 1023

2445

Furnizarea serviciului de verificare a încrederii punctelor finale

CTI

TCP

Terminal

Unified CM

Mai mare de 1023

2748

Conexiune între aplicațiile CTI (JTAPI/TSP) și CTIManager

CTI securizat

TCP

Terminal

Unified CM

Mai mare de 1023

2749

Conexiune securizată între aplicațiile CTI (JTAPI/TSP) și CTIManager

Catalog global LDAP

TCP

Aplicații UC

Director extern

Mai mare de 1023

3268

Sincronizare director cu LDAP client

Catalog global LDAP

TCP

Aplicații UC

Director extern

Mai mare de 1023

3269

Sincronizare director cu LDAP client

Serviciul CAPF

TCP

Terminal

Unified CM

Mai mare de 1023

3804

Port de ascultare al funcției proxy Autoritatea certificatului (CAPF) pentru emiterea de certificate semnificative la nivel local (LSC) către telefoanele IP

SIP

TCP

Terminal

Unified CM, CUCxn

Mai mare de 1023

5060

Semnalizarea apelurilor

SIP

TCP

Unified CM

Unified CM, Gateway

Mai mare de 1023

5060

Semnalizarea apelurilor

SIP (SEGURU)

TCP

Terminal

Unified CM

Mai mare de 1023

5061

Semnalizarea apelurilor

SIP (SEGURU)

TCP

Unified CM

Unified CM, Gateway

Mai mare de 1023

5061

Semnalizarea apelurilor

SIP (OAUTH)

TCP

Terminal

Unified CM

Mai mare de 1023

5090

Semnalizarea apelurilor

XMPP

TCP

Client Jabber

Cisco IM&P

Mai mare de 1023

5222

Mesagerie instantanee și prezență

HTTP

TCP

Terminal

Unified CM

Mai mare de 1023

6970

Se descarcă configurația și imaginile în puncte finale

HTTPS

TCP

Terminal

Unified CM

Mai mare de 1023

6971

Se descarcă configurația și imaginile în puncte finale

HTTPS

TCP

Terminal

Unified CM

Mai mare de 1023

6972

Se descarcă configurația și imaginile în puncte finale

HTTP

TCP

Client Jabber

CUCxn

Mai mare de 1023

7080

Notificări de mesagerie vocală

HTTPS

TCP

Client Jabber

CUCxn

Mai mare de 1023

7443

Notificări securizate de mesagerie vocală

HTTPS

TCP

Unified CM

Unified CM

Mai mare de 1023

7501

Utilizat de Serviciu de căutare intercluster (ILS) pentru autentificarea pe bază de certificat

HTTPS

TCP

Unified CM

Unified CM

Mai mare de 1023

7502

Utilizat de ILS pentru autentificarea pe bază de parolă

IMAP

TCP

Client Jabber

CUCxn

Mai mare de 1023

7993

IMAP peste TLS

HTTP

TCP

Terminal

Unified CM

Mai mare de 1023

8080

URI director pentru suport terminal moștenit

HTTPS

TCP

Browser, Endpoint

Aplicații UC

Mai mare de 1023

8443

Acces Web pentru interfețe de îngrijire personală și administrative, UDS

HTTPS

TCP

Telefon

Unified CM

Mai mare de 1023

9443

Căutare contact autentificat

HTTP-uri

TCP

Terminal

Unified CM

Mai mare de 1023

9444

Funcție de gestionare a căștilor

RTP/ SRTP

UDP

Unified CM

Telefon

16384 până la 32767 *

16384 până la 32767 *

Media (audio) - Muzică în așteptare, Anuntor, Software Conference Bridge (Deschidere pe baza semnalizării apelului)

RTP/ SRTP

UDP

Telefon

Unified CM

16384 până la 32767 *

16384 până la 32767 *

Media (audio) - Muzică în așteptare, Anuntor, Software Conference Bridge (Deschidere pe baza semnalizării apelului)

COBRAS

TCP

Client

CUCxn

Mai mare de 1023

20532

Copiere de rezervă și restaurare Suită aplicație

ICMP

ICMP

Terminal

Aplicații UC

nu este cazul

nu este cazul

Ping

ICMP

ICMP

Aplicații UC

Terminal

nu este cazul

nu este cazul

Ping

DNS UDP și TCP

redirecționare DNS

Servere DNS instanță dedicată

Mai mare de 1023

53

Client Premise redirecționează DNS către serverele DNS dedicate instanței. Consultați cerințele DNS pentru mai multe informații.

* Anumite cazuri speciale pot utiliza un interval mai mare.

Instanță dedicată – porturile OTT

Următorul port poate fi utilizat de către Clienți și Parteneri pentru configurarea Mobile and Remote Access (MRA):

Tabelul 3. Port pentru OTT

Protocol

TCP/UCP

Sursă

Destinație

Port sursă

Port de destinație

Scop

SIGUR RTP/ RTCP

UDP

Expressway C

Client

Mai mare de 1023

36000-59999

Secure Media pentru apeluri MRA și B2B

Trunchi SIP interactiv între instanță multiplă și instanță dedicată (numai pentru trunchiul bazat pe înregistrare)

Următoarea listă de porturi trebuie să fie permisă pe firewall-ul clientului pentru trunchiul SIP bazat pe înregistrare care se conectează între Multitant și instanța dedicată.

Tabelul 4. Port pentru trunchiuri bazate pe înregistrare

Protocol

TCP/UCP

Sursă

Destinație

Port sursă

Port de destinație

Scop

RTP/RTCP

UDP

Multitent Webex Calling

Client

Mai mare de 1023

8000-48198

Mass-media de la Webex Calling Multitant

Instanță dedicată – Porturile UCCX

Următoarea listă de porturi poate fi utilizată de clienți și parteneri pentru configurarea UCCX.

Tabelul 5. Porturi Cisco UCCX

Protocol

TCP / UCP

Sursă

Destinație

Port sursă

Port de destinație

Scop

SSH

TCP

Client

UCCX

Mai mare de 1023

22

SFTP și SSH

Informix

TCP

Client sau Server

UCCX

Mai mare de 1023

1504

port bază de date Contact Center Express

SIP

UDP și TCP

Server SIP GW sau MCRP

UCCX

Mai mare de 1023

5065

Comunicare cu nodurile GW și MCRP la distanță

XMPP

TCP

Client

UCCX

Mai mare de 1023

5223

Conexiune XMPP securizată între serverul Finesse și aplicațiile personalizate de la terți

CVD

TCP

Client

UCCX

Mai mare de 1023

6999

Editor pentru aplicațiile CCX

HTTPS

TCP

Client

UCCX

Mai mare de 1023

7443

Conexiune BOSH securizată între serverul Finesse și desktopurile pentru agenți și supraveghetori pentru comunicare prin HTTPS

HTTP

TCP

Client

UCCX

Mai mare de 1023

8080

Clienții care raportează date live se conectează la un server socket.IO

HTTP

TCP

Client

UCCX

Mai mare de 1023

8081

Browser-ul client încearcă să acceseze interfață web Cisco Unified Intelligence Center

HTTP

TCP

Client

UCCX

Mai mare de 1023

8443

Administrator GUI, RTMT, acces DB prin SOAP

HTTPS

TCP

Client

UCCX

Mai mare de 1023

8444

interfață web Cisco Unified Intelligence Center

HTTPS

TCP

Browser și clienți REST

UCCX

Mai mare de 1023

8445

Port securizat pentru Finesse

HTTPS

TCP

Client

UCCX

Mai mare de 1023

8447

HTTPS - Ajutor online Unified Intelligence Center

HTTPS

TCP

Client

UCCX

Mai mare de 1023

8553

Componentele de conectare unică (SSO) accesează această interfață pentru a cunoaște starea de funcționare a Cisco IdS.

HTTP

TCP

Client

UCCX

Mai mare de 1023

9080

Clienți care încearcă să acceseze declanșatoarele HTTP sau documentele / prompturile / gramaticile / date live.

HTTPS

TCP

Client

UCCX

Mai mare de 1023

9443

Port securizat utilizat pentru a răspunde clienților care încearcă să acceseze declanșatoarele HTTPS

TCP

TCP

Client

UCCX

Mai mare de 1023

12014

Acesta este portul în care clienții de raportare a datelor live se pot conecta la serverul socket.IO

TCP

TCP

Client

UCCX

Mai mare de 1023

12015

Acesta este portul în care clienții de raportare a datelor live se pot conecta la serverul socket.IO

CTI

TCP

Client

UCCX

Mai mare de 1023

12028

Client CTI terț la CCX

RTP(media)

TCP

Terminal

UCCX

Mai mare de 1023

Mai mare de 1023

Portul media este deschis dinamic după cum este necesar

RTP(media)

TCP

Client

Terminal

Mai mare de 1023

Mai mare de 1023

Portul media este deschis dinamic după cum este necesar

securitate Client

Securizarea Jabber și Webex cu SIP OAuth

Clienții Jabber și Webex sunt autentificați printr-un token OAuth în loc de un certificat semnificativ la nivel local (LSC), care nu necesită activarea funcție delegată a autorității certificatului (CAPF) (și pentru MRA). SIP OAuth care funcționează cu sau fără modul mixt a fost introdus în Cisco Unified CM 12.5(1), Jabber 12.5 și Expressway X12.5.

În Cisco Unified CM 12.5, avem o nouă opțiune în Phone Security Profile care permite criptarea fără LSC/ CAPF, utilizând un singur Securitate strat de transport (TLS) + token OAuth în SIP REGISTER. Nodurile Expressway-C utilizează API -ul Administrative XML Web Service (AXL ) pentru a informa Cisco Unified CM cu privire la SN/SAN din certificatul lor. Cisco Unified CM utilizează aceste informații pentru a valida certificatul Exp-C atunci când stabilește o conexiune TLS reciprocă.

SIP OAuth permite criptarea media și a semnalizării fără un certificat de terminal (LSC).

Cisco Jabber utilizează porturi efemere și porturi securizate 6971 și 6972 prin conexiune HTTPS la serverul TFTP pentru a descărca fișierele de configurare. Portul 6970 este un port nesecurizat pentru descărcare prin HTTP.

Mai multe detalii despre configurația SIP OAuth: Mod SIP OAuth .

cerințe DNS

Pentru instanță dedicată, Cisco oferă FQDN pentru serviciu în fiecare regiune, cu următorul format<customer> .<region> .wxc-di.webex.com de exemplu, xyz.amer.wxc-di.webex.com .

Valoarea „client” este furnizată de administrator ca parte a Asistentul pentru prima configurare (FTSW). Pentru mai multe informații, consultați Activarea serviciului de instanță dedicată .

Înregistrările DNS pentru acest FQDN trebuie să poată fi rezolvate de pe server DNS intern al clientului pentru a accepta dispozitivele locale care se conectează la instanța dedicată. Pentru a facilita rezoluția, clientul trebuie să configureze un redirecționar condiționat, pentru acest FQDN, pe server DNS care indică serviciul DNS de instanță dedicată. Serviciul DNS pentru instanță dedicată este regional și poate fi contactat, prin peering-ul la instanța dedicată, folosind următoarele adrese IP , așa cum este menționat în tabelul de mai jos Adresă IP serviciu DNS instanță dedicată .

Tabelul 6. Adresă IP serviciu DNS instanță dedicată

Regiune/DC

Adresă IP serviciu DNS instanță dedicată

Exemplu de redirecționare condiționată

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

UE

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

SIN

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


 

Opțiunea ping este dezactivată pentru adresele IP ale server DNS menționate mai sus din motive de securitate.

Până la implementarea redirecționării condiționate, dispozitivele nu se vor putea înscrie în instanța dedicată din rețeaua internă a clienților prin linkurile de peering. Redirecționarea condiționată nu este necesară pentru înregistrare prin Mobile and Remote Access (MRA), deoarece toate înregistrările DNS externe necesare pentru a facilita MRA vor fi pre-provizionate de către Cisco.

Când utilizați aplicația Webex ca client calling soft în Instanță dedicată, trebuie configurat un Profil UC Manager în Control Hub pentru domeniul de servicii vocale (VSD) din fiecare regiune. Pentru mai multe informații, consultați Profiluri UC Manager în Cisco Webex Control Hub . Aplicația Webex va putea rezolva automat Expressway Edge a clientului, fără nicio intervenție a utilizator final .


 

Domeniul serviciului vocal va fi furnizat clientului ca parte a documentului de acces al partenerului odată ce activarea serviciului este finalizată.