Требования к сети для выделенного экземпляра

Webex Calling выделенный экземпляр является частью портфолио службы Вызовы в облаке Cisco на основе технологии Cisco Unified Communications Manager (унифицированная (служба) Cisco CM). Выделенный экземпляр предлагает решения для передачи голоса, видео, обмена сообщениями и обеспечения мобильности, а также функции и преимущества IP-телефонов, мобильных устройств и настольных клиентов Cisco, которые надежно подключаются к выделенной службе.

Эта статья предназначена для администраторов сети, особенно администраторов брандмауэра и безопасности прокси, которые хотят использовать выделенный экземпляр в своей организации.

Обзор безопасности: Безопасность в слоях

Выделенный экземпляр использует многоуровневый подход к обеспечению безопасности. К уровням относится:

  • Физический доступ

  • Сеть

  • Конечные точки

  • Приложения UC

В следующих разделах описаны уровни безопасности в развертываниях выделенных экземпляров .

Физическая безопасность

Важно обеспечить физическую безопасность для расположения комнаты Meet-Me Equinix и средств центра обработки данных Cisco , выделенных для экземпляров . В случае нарушения физической безопасности могут инициироваться простые атаки, такие как нарушение обслуживания путем отключения питания коммутаторов клиента. При физическом доступе злоумышленники могут получить доступ к серверным устройствам, сбросить пароли и получить доступ к коммутаторам. Физический доступ также облегчает более сложные атаки, например атаки с человека с середины сети, поэтому второй уровень безопасности критически важен.

Диски самозашифрования используются в выделенных центрах обработки данных экземпляров , где находятся приложения UC.

Дополнительную информацию об общих методах обеспечения безопасности см. в документации по следующему адресу: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Безопасность сети

Партнерам необходимо обеспечить безопасность всех элементов сети в инфраструктуре Dedicated Instance (которая соединяется с Equinix). Ответственность партнера за обеспечение передовой практики обеспечения безопасности:

  • Отдельная VLAN для передачи голоса и данных

  • В этой области можно включить режим безопасности для портов, ограничивающий число MAC-адресов, разрешенных для одного порта, по отношению к нагромоя таблицы CAM

  • Защиты источника IP от подмены IP-адресов

  • Динамический анализ ARP (DAI) анализирует протокол разрешения адресов (ARP) и нательное ARP (GARP) на факт нарушения (по отношению к подмене ARP)

  • 802. Ограничение1x доступа к сети для аутентификации устройств в присвоенных сетях VLA (телефоны поддерживают 802.1x)

  • Настройка качества обслуживания (QoS) для соответствующей маркировки голосовых пакетов

  • Конфигурации портов брандмауэра для блокирования любого другого трафика

Безопасность оконечных устройств

Конечные точки Cisco поддерживают функции безопасности по умолчанию, такие как подписанное микропрограммное обеспечение, защищенная загрузка (выбранные модели), сертификат изготовителя (MIC) и подписанные файлы конфигурации, которые обеспечивают определенный уровень безопасности для конечных точек.

Кроме того, партнер или клиент может обеспечить дополнительную безопасность, в том числе:

  • Шифровать телефонные IP-услуги (посредством HTTPS) для таких услуг, как мобильность телефонных номеров

  • Выдают сертификаты местного качества (LSC) с функции прокси-сервера службы сертификации (CAPF) или публичного ЦС

  • Шифровать файлы конфигурации

  • Шифрование данных мультимедиа и сигнального канала

  • Отключать указанные настройки, если они не используются. порт ПК, доступ к голосовой сети VLAN для ПК, gratuitous ARP, web-доступ, кнопка настроек, SSH, консоль

Реализация механизмов безопасности в выделенном экземпляре предотвращает хищение личных данных телефонов и сервера Unified CM, не фальсификацию данных и ненамерение медиапотока.

Выделенный экземпляр сети:

  • Устанавливает и поддерживает потоки связи с аутентификацией

  • Перед передачей файла на телефон необходимо цифровой подписи

  • Шифрует потоки мультимедиа и сигнальные данные о вызовах между унифицированная (служба) Cisco IP-телефонами

Настройка безопасности по умолчанию

По умолчанию система безопасности обеспечивает следующие функции автоматической защиты унифицированная (служба) Cisco IP-телефонов.

  • Подписание файлов конфигурации телефона

  • Поддержка шифрования файлов конфигурации телефона

  • HTTPS с Tomcat и другими веб-службами (MDlets)

Для Unified CM выпуска 8.0 и последующих выпусков эти функции безопасности предоставляются по умолчанию без запуска клиента CTL.

Служба проверки доверия

Поскольку в сети большое количество телефонов и IP-телефоны имеют ограниченный объем памяти, унифицированная (служба) Cisco CM действует как удаленное хранилище доверия через службу проверки доверия (TVS), поэтому для каждого телефона не нужно размещать хранилище доверия сертификата. IP-телефоны Cisco для проверки обратились к серверу TVS, поскольку они не могут проверить подпись или сертификат посредством файлов CTL или ITL. Централизованное хранилище доверия проще в управлении, чем управление этим хранилищем в каждом из унифицированная (служба) Cisco IP-телефона.

Компания TVS позволяет унифицированная (служба) Cisco IP-телефонам аутентификацию серверов приложений, таких как услуги EM, каталог и MIDlet, во время установления HTTPS.

Первоначальный список доверия

Файл исходного списка доверия (ITL) используется для начальной безопасности, чтобы конечные точки могли доверять унифицированная (служба) Cisco CM. ITL не требует явного включения функций безопасности. Файл ITL создается автоматически после установки кластера. Закрытый ключ сервера Trivial File Transfer Protocol (TFTP) Unified CM используется для подписи файла ITL.

Если кластер унифицированная (служба) Cisco CM или сервер находится в незабезопасном режиме, файл ITL скачивается на каждый поддерживаемый IP-телефон Cisco. Партнер может просматривать содержание файла ITL с помощью команды CLI admin:show itl.

IP-телефоны Cisco нуждаются в файле ITL для выполнения следующих задач:

  • Безопасная связь с CAPF – предварительным условием для поддержки шифрования файлов конфигурации

  • Аутентификация подписи файла конфигурации

  • Аутентификация серверов приложений, таких как службы EM, каталог и MIDlet во время установления HTTPS с помощью TVS

Cisco CTL

Аутентификация устройства, файла и сигнального сигнала зависит от создания файла CTL, который создается после установки партнером или клиентом клиента и настройки клиента списка доверия сертификата Cisco.

Файл CTL содержит записи для следующих серверов или маркеров безопасности:

  • Маркер безопасности (SAST) для системного администратора

  • Службы Cisco CallManager и Cisco TFTP, работающие на одном сервере

  • Функция прокси-сервера для органов сертификации (CAPF)

  • Серверы TFTP

  • Межсетевой экран ASA

Файл CTL содержит сертификат сервера, открытый ключ, серийный номер, подпись, имя эмитента, имя субъекта, функцию сервера, имя DNS и IP-адрес для каждого сервера.

Функции защиты телефона с помощью CTL:

  • Аутентификация скачаемых файлов TFTP (конфигурация, региональные настройки, список мелодий и т. г.) с помощью ключа подписи

  • Шифрование файлов конфигурации TFTP с помощью подписи

  • Шифрование сигналов вызова для IP-телефонов

  • Шифрование аудио вызовов (медиа) для IP-телефонов

Безопасность телефонов Cisco IP в выделенном экземпляре

Выделенный экземпляр обеспечивает регистрацию оконечной точки и обработку вызовов. Сигнальные данные между унифицированная (служба) Cisco CM и конечными точками основаны на протоколе управления secure Skinny Client Control Protocol (SCCP) или протокол установления сеанса (SIP) и могут быть зашифрованы с помощью протокола TLS (Transport Layer Security). Мультимедиа от/до конечных точек основывается на транспортных протоколах реального времени (RTP), а также может быть зашифровано с помощью безопасного протокола RTP (SRTP).

Включение смешанного режима в Unified CM позволяет шифрование сигнального и медиа трафика от и до конечных точек Cisco.

Безопасные приложения UC

Включение смешанного режима в выделенном экземпляре

Смешанный режим включен по умолчанию в выделенном экземпляре.

Включение смешанного режима в выделенном экземпляре позволяет выполнять шифрование сигнального и медиа трафика от и до оконечного устройства Cisco.

В унифицированная (служба) Cisco CM 12.5(1) для клиентов Jabber и Webex был добавлен новый параметр шифрования сигнального и медиасигналов на основе OAuth SIP вместо смешанного режима / CTL. Таким образом, в выпуске Unified CM 12.5(1) SIP OAuth и SRTP можно использовать для шифрования сигналов и мультимедиа для клиентов Jabber или Webex. В настоящее время для IP-телефонов Cisco и других конечных точек Cisco по-прежнему требуется включение смешанного режима. В будущем выпуске планируется добавить поддержку SIP OAuth для оконечного тока 7800/8800.

Безопасность обмена голосовыми сообщениями

Cisco Unity Connection Unified CM через порт TLS. Если режим безопасности устройства не является защищенным, Cisco Unity Connection к Unified CM через порт SCCP.

Для настройки безопасности портов голосовых сообщений Unified CM и устройств Cisco Unity с устройствами SCCP или Cisco Unity Connection с SCCP партнер может выбрать для порта режим защиты устройств. При выборе порта голосовой почты с аутентификацией открывается соединение TLS, которое аутентификация устройств с помощью mutual certificate exchange (каждое устройство принимает сертификат другого устройства). При выборе порта голосовой почты с шифрованием система сначала аутентификация устройств, а затем отправляет между устройствами зашифрованные голосовые потоки.

Дополнительные сведения о портах голосовых сообщений системы безопасности можно найти на сайте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Безопасность для SRST, магистральных шлюзов, шлюзов, CUBE/SBC

Если унифицированная (служба) Cisco CM на выделенном экземпляре не может завершить вызов, шлюз с поддержкой унифицированная (служба) Cisco удаленных сайтов (SRST) обеспечивает ограниченную обработку вызовов.

Защищенные шлюзы с поддержкой SRST содержат самозаверяя сертификат. После выполнения партнером задач настройки SRST в службе администрирования Unified CM Unified CM для аутентификации со службой поставщика сертификатов в шлюзе с поддержкой SRST используется соединение TLS. Затем Unified CM извлекает сертификат из шлюза с поддержкой SRST и добавляет сертификат в базу данных Unified CM.

После сброса партнером зависимых устройств в службе администрирования Unified CM сервер TFTP добавляет сертификат шлюза с поддержкой SRST в файл cnf.xml телефона и отправляет файл на телефон. Защищенный телефон затем использует соединение TLS для взаимодействия с шлюзом с поддержкой SRST.

Рекомендуется иметь защищенные магистрали для вызова, исходящие от унифицированная (служба) Cisco CM к шлюзу, для исходящие вызовы PSTN или обхода через граничный элемент унифицированная (служба) Cisco (CUBE).

Магистрали SIP поддерживают защищенные вызовы как для сигнального, так и для мультимедиа; Протокол TLS обеспечивает шифрование сигнального сигнала, а SRTP обеспечивает шифрование мультимедиа.

Защита связи между Cisco Unified CM и CUBE

Для безопасного взаимодействия между унифицированная (служба) Cisco CM и CUBE партнеры/клиенты должны использовать либо самозаверяют сертификаты, либо сертификаты, подписанные ЦС.

Для самозаверяных сертификатов:

  1. CUBE и унифицированная (служба) Cisco CM создают самозаверяют сертификаты

  2. CUBE экспортирует сертификат в унифицированная (служба) Cisco CM

  3. унифицированная (служба) Cisco CM экспортирует сертификат в CUBE

Для сертификатов, подписанных ЦС:

  1. Клиент создает пару ключей и отправляет запрос на подпись сертификата (CSR) в центр сертификации (CA).

  2. ЦС подписывает его с помощью закрытого ключа, создавая сертификат удостоверения

  3. Клиент устанавливает список доверенных корневых и посредникных сертификатов ca и сертификата идентификации

Безопасность удаленных оконечных устройств

При наличии конечных точек Remote Access (MRA) сигнализация и мультимедиа всегда шифруются между конечными точками MRA и Expressway узлами. Если для конечных точек MRA используется протокол установления интерактивного соединения (ICE), для оконечного устройства MRA необходимо шифрование сигнального протокола и среды оконечного устройства. Однако для шифрования сигнального и медиасигналов между серверами Expressway-C и внутренними серверами Unified CM, внутренними конечными точками или другими внутренними устройствами необходим смешанный режим или SIP OAuth.

Cisco Expressway обеспечивает безопасный обход брандмауэра и поддержку на стороне линии для регистраций Unified CM. Unified CM обеспечивает управление вызовами как для мобильных, так и для локальной конечных точек. Сигнальный сигнал проходит через решение Expressway между удаленным оконечнным точком и Unified CM. Мультимедиа проходит через Expressway и ретранслируется между конечными точками напрямую. Все мультимедиа шифруются между Expressway-C и мобильной конечной точкой.

Любое решение MRA требует на Expressway Unified CM с совместимыми с MRA клиентами и/или фиксированными конечными точками. Дополнительное решение может включать службы im и Presence и Unity Connection.

Сводная информация протокола

В таблице ниже показаны протоколы и связанные с ними службы, используемые в решении Unified CM.

Таблица 1. Протоколы и связанные с ними службы

Протокол

Безопасность

Служба

SIP

TLS

Установление сеанса: Регистрация, приглашение и т. д.

HTTPS

TLS

Войт, и подготовка/настройка, каталог, визуальная голосовая почта

Медиа-

SRTP

Носителя: Аудио, видео, совместный доступ к контенту

XMPP

TLS

Обмен мгновенными сообщениями, присутствие, федерация

Более подробную информацию о конфигурации MRA см. в: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Параметры конфигурации

Выделенный экземпляр обеспечивает партнеру гибкие возможности настройки служб для конечных пользователей посредством полного управления настройкой двухдневных конфигураций. В результате партнер исключительно отвечает за надлежащую настройку службы выделенных экземпляров для среды конечного пользователя. К ним, в частности, относятся:

  • Выбор безопасных/незабезопасных вызовов, протоколов защиты и защиты, таких как SIP/sSIP, http/https и т. д., и понимание всех связанных с этим факторов риска.

  • Для всех MAC-адресов, не настроенных как безопасные SIP в выделенном экземпляре, злоумышленник может отправлять сообщение регистрации SIP с помощью этого MAC-адреса и иметь возможность посылать вызовы SIP , что приводит к мошенничеству. Злоумышленник может зарегистрировать свое устройство или программное обеспечение SIP в выделенном экземпляре без авторизации, если он знает MAC-адрес устройства, зарегистрированного в выделенном экземпляре.

  • Expressway вызовов "-E", для предотвращения мошенничества при оплате вызовов необходимо настроить правила преобразования и поиска. Чтобы получить более подробную информацию о предотвращении мошенничества с использованием Expressway, обратитесь к разделу Безопасность Expressway C и Expressway-E для совместной работы SRND.

  • Настройка плана набора для обеспечения того, чтобы пользователи могли набирать только те пункты назначения, которые разрешены, например, запретить набор национальных/международных номеров, правильно маршрутизируются экстренные вызовы и т.д. Дополнительную информацию о применении ограничений с помощью номерного плана см. в разделе План набора SRND для совместной работы.

Требования к сертификатам для безопасных соединений в выделенном экземпляре

Для выделенного экземпляра Cisco предоставит домен и подпишет все сертификаты для приложений UC с помощью публичного сертификата (CA).

Выделенный экземпляр – номера портов и протоколы

В таблицах ниже описаны порты и протоколы, поддерживаемые в выделенном экземпляре. Порты, используемые для данного клиента, зависят от развертывания и решения клиента. Протоколы зависят от предпочтений клиента (SCCP vs SIP), существующих локальных устройств и уровня безопасности для определения портов, которые будут использоваться в каждом развертывании.

Выделенный экземпляр не разрешает преобразование сетевых адресов (NAT) между оконечными устройствами и Unified CM, поскольку некоторые функции потока вызовов не будут работать, например функция во время вызова.

Выделенный экземпляр – порты клиента

Доступные для клиентов порты – между локальной и выделенной экземплярами клиента отображается в таблице 1 Выделенные порты клиента экземпляра. Все перечисленные ниже порты для трафика клиента, который проходит через одноранговые соединения.

Порт SNMP открыт по умолчанию только для Cisco Emergency Responder для поддержки его функциональных возможностей. Поскольку мы не поддерживаем партнеров или клиентов, отслеживающих приложения UC, развернутые в облаке выделенного экземпляра, мы не разрешаем открытие порта SNMP для других приложений UC.

Порты в диапазоне от 5063 до 5080 зарезервированы Cisco для других интеграций облака. Администраторам партнеров или клиентов рекомендуется не использовать эти порты в своих конфигурациях.

Таблица 2. Порты клиентов выделенного экземпляра

Protocol

TCP/UDP

Source

Адресат

Исходный порт

Порт назначения

Цель

Ssh

Протокол TCP

Клиент

Приложения UC

Не разрешено для приложений Cisco Expressway.

Более 1023

22

Администрирование

TFTP

UDP

Терминальное устройство

Unified CM

Более 1023

69

Поддержка устаревших терминальных устройств

LDAP;

Протокол TCP

Приложения UC

Внешний каталог

Более 1023

389

Синхронизация каталогов с клиентом LDAP

HTTPS

Протокол TCP

Браузер

Приложения UC

Более 1023

443

Веб-доступ для интерфейсов самостоятельного обслуживания и администрирования

Исходящие сообщения (SECURE)

Протокол TCP

Приложение UC

CUCxn

Более 1023

587

Используется для составить и передать защищенные сообщения любым назначенным получателям

LDAP (БЕЗОПАСНЫЙ)

Протокол TCP

Приложения UC

Внешний каталог

Более 1023

636

Синхронизация каталогов с клиентом LDAP

H323

TCP

Шлюз

Unified CM

Более 1023

1720

Сигнализация вызовов

H323

Протокол TCP

Unified CM

Unified CM

Более 1023

1720

Сигнализация вызовов

SCCP

Протокол TCP

Терминальное устройство

Unified CM, CUCxn

Более 1023

2000

Сигнализация вызовов

SCCP

Протокол TCP

Unified CM

Unified CM, шлюз

Более 1023

2000

Сигнализация вызовов

MGCP

UDP

Шлюз

Шлюз

Более 1023

2427

Сигнализация вызовов

Обратная связь MGCP

TCP

Шлюз

Unified CM

Более 1023

2428

Сигнализация вызовов

SCCP (БЕЗОПАСНЫЙ)

Протокол TCP

Терминальное устройство

Unified CM, CUCxn

Более 1023

2443

Сигнализация вызовов

SCCP (БЕЗОПАСНЫЙ)

Протокол TCP

Unified CM

Unified CM, шлюз

Более 1023

2443

Сигнализация вызовов

Проверка доверия

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

2445

Предоставление конечным точкам службы проверки доверия

Cti

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

2748

Соединение между приложениями CTI (JTAPI/TSP) и CTIManager

Защищенная CTI

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

2749

Безопасное соединение между приложениями CTI (JTAPI/TSP) и CTIManager

Глобальный каталог LDAP

Протокол TCP

Приложения UC

Внешний каталог

Более 1023

3268

Синхронизация каталогов с клиентом LDAP

Глобальный каталог LDAP

Протокол TCP

Приложения UC

Внешний каталог

Более 1023

3269

Синхронизация каталогов с клиентом LDAP

Служба CAPF

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

3804

Порт прослушивания функции прокси-сервера органов сертификации (CAPF) для выдачи IP-телефонам сертификатов местного разрешения (LSC)

SIP

Протокол TCP

Терминальное устройство

Unified CM, CUCxn

Более 1023

5060

Сигнализация вызовов

SIP

Протокол TCP

Unified CM

Unified CM, шлюз

Более 1023

5060

Сигнализация вызовов

SIP (БЕЗОПАСНЫЙ)

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

5061

Сигнализация вызовов

SIP (БЕЗОПАСНЫЙ)

Протокол TCP

Unified CM

Unified CM, шлюз

Более 1023

5061

Сигнализация вызовов

SIP (OAUTH)

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

5090

Сигнализация вызовов

XMPP

Протокол TCP

Клиент Jabber

Cisco IM&P

Более 1023

5222

Обмен мгновенными сообщениями и присутствие

HTTP

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

6970

Загрузка конфигурации и изображений в конечные точки

HTTPS

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

6971

Загрузка конфигурации и изображений в конечные точки

HTTPS

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

6972

Загрузка конфигурации и изображений в конечные точки

HTTP

Протокол TCP

Клиент Jabber

CUCxn

Более 1023

7080

Уведомления голосовой почты

HTTPS

Протокол TCP

Клиент Jabber

CUCxn

Более 1023

7443

Уведомления о защищенной голосовой почте

HTTPS

Протокол TCP

Unified CM

Unified CM

Более 1023

7501

Используется службой межluster Lookup Service (ILS) для аутентификации на основе сертификатов

HTTPS

Протокол TCP

Unified CM

Unified CM

Более 1023

7502

Используется ILS для аутентификации на основе пароля

IMAP

Протокол TCP

Клиент Jabber

CUCxn

Более 1023

7993

IMAP по TLS

HTTP

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

8080

URI каталога для поддержки устаревших терминальных устройств

HTTPS

Протокол TCP

Браузер, конечная точка

Приложения UC

Более 1023

8443

Веб-доступ для самостоятельного управления и административных интерфейсов, UDS

HTTPS

Протокол TCP

Телефон

Unified CM

Более 1023

9443

Поиск контактов с аутентификацией

HTTP

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

9444

функция управления гарнитурой

Защищенный RTP/SRTP

UDP

Unified CM

Телефон

С 16384 по 32767*

С 16384 по 32767*

Мультимедиа (аудио) – музыка в удержании, Annunciator, программный мост конференц-связи (открыт на основании сигналов вызова)

Защищенный RTP/SRTP

UDP

Телефон

Unified CM

С 16384 по 32767*

С 16384 по 32767*

Мультимедиа (аудио) – музыка в удержании, Annunciator, программный мост конференц-связи (открыт на основании сигналов вызова)

КОБРА

Протокол TCP

Клиент

CUCxn

Более 1023

20532

Резервное копирование и восстановление пакета приложений

ICMP

ICMP

Терминальное устройство

Приложения UC

н/д

н/д

Проверка связи

ICMP

ICMP

Приложения UC

Терминальное устройство

н/д

н/д

Проверка связи

DNS UDP и TCP

система переадресации DNS

DNS-серверы выделенного экземпляра

Более 1023

53

Переадресаторы локальных DNS клиента на серверы DNS выделенного экземпляра. Дополнительную информацию см. в требованиях к DNS.

* Для некоторых особых случаев может применяться большее количество случаев.

Выделенный экземпляр – порты OTT

Клиенты и партнеры могут использовать следующий порт для настройки мобильного и удаленного доступа (MRA):

Таблица 3. Порт для OTT

Протокол

TCP/UCP

Source

Адресат

Исходный порт

Порт назначения

Цель

ЗАЩИЩЕННЫЙ RTP/RTCP

UDP

Expressway C

Клиент

Более 1023

36000-59999

Защищенный медиа -для вызовов MRA и B2B

Межоперационная магистраль SIP между несколькими клиентами и выделенным экземпляром (только для магистрали на основе регистрации)

Следующий список портов должен быть разрешен в брандмауэре клиента для подключения магистрали SIP на основе регистрации между мультиклиентом и выделенным экземпляром.

Таблица 4. Порт для магистралей на основе регистрации

Протокол

TCP/UCP

Source

Адресат

Исходный порт

Порт назначения

Цель

RTP/RTCP

UDP

многоклиент Webex Calling

Клиент

Более 1023

8000-48198

Мультиклиент Webex Calling

Выделенный экземпляр – порты UCCX

Клиенты и партнеры могут использовать следующий список портов для настройки UCCX.

Таблица 5. Порты Cisco UCCX

Протокол

TCP / UCP

Source

Адресат

Исходный порт

Порт назначения

Цель

Ssh

Протокол TCP

Клиент

UCCX

Более 1023

22

SFTP и SSH

Informix

Протокол TCP

Клиент или сервер

UCCX

Более 1023

1504

Порт базы данных Contact Center Express

SIP

UDP и TCP

Сервер SIP GW или MCRP

UCCX

Более 1023

5065

Связь с удаленными узлами GW и MCRP

XMPP

Протокол TCP

Клиент

UCCX

Более 1023

5223

Безопасное соединение XMPP между сервером Finesse и пользовательскими сторонними приложениями

Cvd

Протокол TCP

Клиент

UCCX

Более 1023

6999

Приложения Editor to CCX

HTTPS

Протокол TCP

Клиент

UCCX

Более 1023

7443

Безопасное подключение КОШ между сервером Finesse и рабочими столами операторов и диспетчеров для передачи данных по HTTPS

HTTP

Протокол TCP

Клиент

UCCX

Более 1023

8080

Клиенты отчетов с динамическими данными подключаются к серверу socket.IO

HTTP

Протокол TCP

Клиент

UCCX

Более 1023

8081

Клиентский браузер пытается получить доступ к веб унифицированная (служба) Cisco-интерфейсу Intelligence Center

HTTP

Протокол TCP

Клиент

UCCX

Более 1023

8443

Графический интерфейс администратора, RTMT, доступ к базе данных через SOAP

HTTPS

Протокол TCP

Клиент

UCCX

Более 1023

8444

унифицированная (служба) Cisco- и web-интерфейса Intelligence Center

HTTPS

Протокол TCP

Клиенты для браузеров и REST

UCCX

Более 1023

8445

Защищенный порт для Finesse

HTTPS

Протокол TCP

Клиент

UCCX

Более 1023

8447

HTTPS – онлайн-справка центра Unified Intelligence Center

HTTPS

Протокол TCP

Клиент

UCCX

Более 1023

8553

Компоненты системы единого входа (SSO) получают доступ к этому интерфейсу, чтобы узнать рабочее состояние Cisco IdS.

HTTP

Протокол TCP

Клиент

UCCX

Более 1023

9080

Клиенты, пытаются получить доступ к триггерам HTTP, документам, подсказкам/ грамматикам / данным в прямом эфире.

HTTPS

Протокол TCP

Клиент

UCCX

Более 1023

9443

Защищенный порт, используемый для реагирования на запросы клиентов о доступе к триггерам HTTPS

Протокол TCP

Протокол TCP

Клиент

UCCX

Более 1023

12014

Это порт, где клиенты отчетов с динамическими данными могут подключаться к серверу socket.IO

Протокол TCP

Протокол TCP

Клиент

UCCX

Более 1023

12015

Это порт, где клиенты отчетов с динамическими данными могут подключаться к серверу socket.IO

Cti

Протокол TCP

Клиент

UCCX

Более 1023

12028

Сторонний CTI-клиент в CCX

RTP (мультимедиа)

Протокол TCP

Терминальное устройство

UCCX

Более 1023

Более 1023

При необходимости порт мультимедиа открывается динамически.

RTP (мультимедиа)

Протокол TCP

Клиент

Терминальное устройство

Более 1023

Более 1023

При необходимости порт мультимедиа открывается динамически.

Безопасность клиента

Защита Jabber и Webex с помощью SIP OAuth

Аутентификация клиентов Jabber и Webex обеспечивается посредством маркера OAuth вместо локального сертификата (LSC), что не требует возможности аутентификации прокси-сервера сертификации (CAPF) (для MRA). В унифицированная (служба) Cisco CM 12.5(1), Jabber 12.5 и Expressway X12.5 был введен SIP OAuth и без него.

В унифицированная (служба) Cisco CM 12.5 в профиле безопасности телефона есть новый параметр, позволяющий шифрование без использования LSC/CAPF с использованием маркера OAuth + single Transport Layer Security (TLS) + OAuth в SIP REGISTER. Expressway-C узлы используют API административной веб-службы XML (AXL) для информирования унифицированная (служба) Cisco CM о SN/SAN в своем сертификате. унифицированная (служба) Cisco CM использует эту информацию для проверки сертификата Exp-C при установлении mutual TLS соединения.

SIP OAuth включает шифрование мультимедиа и сигнального трафика без сертификата конечной точки (LSC).

Для скачивания файлов конфигурации Cisco Jabber через подключение HTTPS к серверу TFTP использует ненамеренный порт и защищенные порты 6971 и 6972. Порт 6970 является неза защищенным портом для загрузки посредством HTTP.

Дополнительные сведения о конфигурации SIP OAuth: Режим SIP OAuth.

Требования к DNS

Для выделенного экземпляра Cisco предоставляет полное доменное имя для службы в каждом регионе в следующем формате ..wxc-di.webex.com , например, xyz.amer.wxc-di.webex.com.

Значение клиента предоставляется администратором в рамках мастера первой настройки (FTSW). Дополнительные сведения можно найти в ссылке Активация службы для выделенных экземпляров.

Для поддержки локального устройства, подключенного к выделенной службе, необходимо разрешить записи DNS для этого FQDN на внутреннем DNS-сервере клиента. Для упрощения разрешения проблем клиенту необходимо настроить условный перенастройщик для этого FQDN на DNS-сервере, который будет на сервере DNS, а также на службу DNS выделенного экземпляра. Служба DNS выделенного экземпляра является региональной и может быть достигнута посредством пиринга на выделенный экземпляр с помощью следующих IP-адресов, указанных в таблице ниже IP-адрес службы DNS выделенного экземпляра.

Таблица 6. IP-адрес службы DNS выделенного экземпляра

Регион/ЦС

IP-адрес службы DNS выделенного экземпляра

Пример условной переадментции

Северная и Южная Америка

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

Ams

178.215.131.228

Азиатско-тихоокеанский регион, Япония и Китай.

<customer>.apjc.wxc-di.webex.com

Грех

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Мел

178.215.128.100

Сид

178.215.128.228

В целях безопасности параметр ping отключен для вышеуказанных IP-адресов DNS-серверов.

Устройства не смогут регистрироваться в выделенном экземпляре из внутренней сети клиента посредством одноранговых ссылок, пока не будет зарегистрировано условное перенаправляние. Условная переадментация не требуется для регистрации с помощью мобильных устройств и службы Remote Access (MRA), поскольку все необходимые внешние записи DNS для упрощения MRA будут предварительно подготовки компании Cisco.

При использовании приложения Webex в качестве программы телефонии для выделенного экземпляра необходимо настроить профиль менеджера UC в Control Hub для домена голосовой службы (VSD) в каждом регионе. Дополнительные сведения можно найти в профиле менеджера UC в Cisco Webex Control Hub. Приложение Webex сможет автоматически разрешать клиентскую сеть Expressway Edge без какого-либо вмешательства конечного пользователя.

Домен голосовой службы будет предоставлен клиенту в рамках документа о доступе партнера после завершения активации службы.

Использование локального маршрутизатора для разрешения DNS телефона

Для телефонов, у которых нет доступа к корпоративным DNS-серверам, можно использовать локальный маршрутизатор Cisco для переадресации DNS-запросов в облачный DNS выделенного экземпляра. Это устраняет необходимость развертывания локального DNS-сервера и обеспечивает полную поддержку DNS, включая кэширование.

Пример конфигурации :

!

сервер ip dns

ip name-server <DI DNS Server IP DC1> <DI DNS Server IP DC2>

!

Использование DNS в этой модели развертывания характерно для телефонов и может использоваться только для разрешения FQDN с доменом от выделенного экземпляра клиентов.

Разрешение DNS телефона