Требования к сети для выделенного экземпляра

Webex Calling выделенный экземпляр является частью портфолио службы Вызовы в облаке Cisco на основе технологии Cisco Unified Communications Manager (унифицированная (служба) Cisco CM). Выделенный экземпляр предлагает решения для передачи голоса, видео, обмена сообщениями и обеспечения мобильности, а также функции и преимущества IP-телефонов, мобильных устройств и настольных клиентов Cisco, которые надежно подключаются к выделенной службе.

Эта статья предназначена для администраторов сети, особенно администраторов брандмауэра и безопасности прокси, которые хотят использовать выделенный экземпляр в своей организации. Основной темой этого документа являются сетевые требования и безопасность решения Dedicated Instance, включая многоуровневый подход к функциям и функциям, которые обеспечивают защищенный физический доступ, защищенную сеть, защищенные конечные точки и защищенные приложения Cisco UC.

Обзор безопасности: Безопасность на уровнях

Выделенный экземпляр использует многоуровневый подход к обеспечению безопасности. К уровням относится:

  • Физический доступ

  • Сеть

  • Конечные точки

  • Приложения UC

В следующих разделах описаны уровни безопасности в развертываниях выделенных экземпляров .

Безопасность на физическом

Важно обеспечить физическую безопасность для расположения комнаты Meet-Me Equinix и средств центра обработки данных Cisco , выделенных для экземпляров . В случае нарушения физической безопасности могут инициироваться простые атаки, такие как нарушение обслуживания путем отключения питания коммутаторов клиента. При физическом доступе злоумышленники могут получить доступ к серверным устройствам, сбросить пароли и получить доступ к коммутаторам. Физический доступ также облегчает более сложные атаки, например атаки с человека с середины сети, поэтому второй уровень безопасности критически важен.

Диски самозашифрования используются в выделенных центрах обработки данных экземпляров , где находятся приложения UC.

Более подробную информацию об общей практике обеспечения безопасности можно найти в документации по следующему расположению: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Безопасность сети

Партнерам необходимо обеспечить безопасность всех элементов сети в инфраструктуре Dedicated Instance (которая соединяется с Equinix). Ответственность партнера за обеспечение передовой практики обеспечения безопасности:

  • Отдельная VLAN для передачи голоса и данных

  • В этой области можно включить режим безопасности для портов, ограничивающий число MAC-адресов, разрешенных для одного порта, по отношению к нагромоя таблицы CAM

  • Защиты источника IP от подмены IP-адресов

  • Динамический анализ ARP (DAI) анализирует протокол разрешения адресов (ARP) и нательное ARP (GARP) на факт нарушения (по отношению к подмене ARP)

  • 802. Ограничение1x доступа к сети для аутентификации устройств в присвоенных сетях VLA (телефоны поддерживают 802.1x)

  • Настройка качества обслуживания (QoS) для соответствующей маркировки голосовых пакетов

  • Конфигурации портов брандмауэра для блокирования любого другого трафика

Безопасность оконечн

Конечные точки Cisco поддерживают функции безопасности по умолчанию, такие как подписанное микропрограммное обеспечение, защищенная загрузка (выбранные модели), сертификат изготовителя (MIC) и подписанные файлы конфигурации, которые обеспечивают определенный уровень безопасности для конечных точек.

Кроме того, партнер или клиент может обеспечить дополнительную безопасность, в том числе:

  • Шифровать телефонные IP-услуги (посредством HTTPS) для таких услуг, как мобильность телефонных номеров

  • Выдают сертификаты местного качества (LSC) с функции прокси-сервера службы сертификации (CAPF) или публичного ЦС

  • Шифровать файлы конфигурации

  • Шифрование данных мультимедиа и сигнального канала

  • Отключать указанные настройки, если они не используются. порт ПК, доступ к голосовой сети VLAN для ПК, gratuitous ARP, web-доступ, кнопка настроек, SSH, консоль

Реализация механизмов безопасности в выделенном экземпляре предотвращает хищение личных данных телефонов и сервера Unified CM, не фальсификацию данных и ненамерение медиапотока.

Выделенный экземпляр сети:

  • Устанавливает и поддерживает потоки связи с аутентификацией

  • Перед передачей файла на телефон необходимо цифровой подписи

  • Шифрует потоки мультимедиа и сигнальные данные о вызовах между унифицированная (служба) Cisco IP-телефонами

Настройка безопасности по умолчанию

По умолчанию система безопасности обеспечивает следующие функции автоматической защиты унифицированная (служба) Cisco IP-телефонов.

  • Подписание файлов конфигурации телефона

  • Поддержка шифрования файлов конфигурации телефона

  • HTTPS с Tomcat и другими веб-службами (MDlets)

Для Unified CM выпуска 8.0 и последующих выпусков эти функции безопасности предоставляются по умолчанию без запуска клиента CTL.

Служба проверки доверия

Поскольку в сети большое количество телефонов и IP-телефоны имеют ограниченный объем памяти, унифицированная (служба) Cisco CM действует как удаленное хранилище доверия через службу проверки доверия (TVS), поэтому для каждого телефона не нужно размещать хранилище доверия сертификата. IP-телефоны Cisco для проверки обратились к серверу TVS, поскольку они не могут проверить подпись или сертификат посредством файлов CTL или ITL. Централизованное хранилище доверия проще в управлении, чем управление этим хранилищем в каждом из унифицированная (служба) Cisco IP-телефона.

Компания TVS позволяет унифицированная (служба) Cisco IP-телефонам аутентификацию серверов приложений, таких как услуги EM, каталог и MIDlet, во время установления HTTPS.

Исходный список доверия

Файл исходного списка доверия (ITL) используется для начальной безопасности, чтобы конечные точки могли доверять унифицированная (служба) Cisco CM. ITL не требует явного включения функций безопасности. Файл ITL создается автоматически после установки кластера. Закрытый ключ сервера Trivial File Transfer Protocol (TFTP) Unified CM используется для подписи файла ITL.

Если кластер унифицированная (служба) Cisco CM или сервер находится в незабезопасном режиме, файл ITL скачивается на каждый поддерживаемый IP-телефон Cisco. Партнер может просматривать содержание файла ITL с помощью команды CLI admin:show itl.

IP-телефоны Cisco нуждаются в файле ITL для выполнения следующих задач:

  • Безопасная связь с CAPF – предварительным условием для поддержки шифрования файлов конфигурации

  • Аутентификация подписи файла конфигурации

  • Аутентификация серверов приложений, таких как службы EM, каталог и MIDlet во время установления HTTPS с помощью TVS

Cisco CTL

Аутентификация устройства, файла и сигнального сигнала зависит от создания файла CTL, который создается после установки партнером или клиентом клиента и настройки клиента списка доверия сертификата Cisco.

Файл CTL содержит записи для следующих серверов или маркеров безопасности:

  • Маркер безопасности (SAST) для системного администратора

  • Службы Cisco CallManager и Cisco TFTP, работающие на одном сервере

  • Функция прокси-сервера для органов сертификации (CAPF)

  • Серверы TFTP

  • Межсетевой экран ASA

Файл CTL содержит сертификат сервера, открытый ключ, серийный номер, подпись, имя эмитента, имя субъекта, функцию сервера, имя DNS и IP-адрес для каждого сервера.

Функции защиты телефона с помощью CTL:

  • Аутентификация скачаемых файлов TFTP (конфигурация, региональные настройки, список мелодий и т. г.) с помощью ключа подписи

  • Шифрование файлов конфигурации TFTP с помощью подписи

  • Шифрование сигналов вызова для IP-телефонов

  • Шифрование аудио вызовов (медиа) для IP-телефонов

Безопасность IP-телефонов Cisco в выделенном экземпляре

Выделенный экземпляр обеспечивает регистрацию оконечной точки и обработку вызовов. Сигнальные данные между унифицированная (служба) Cisco CM и конечными точками основаны на протоколе управления secure Skinny Client Control Protocol (SCCP) или протокол установления сеанса (SIP) и могут быть зашифрованы с помощью протокола TLS (Transport Layer Security). Мультимедиа от/до конечных точек основывается на транспортных протоколах реального времени (RTP), а также может быть зашифровано с помощью безопасного протокола RTP (SRTP).

Включение смешанного режима в Unified CM позволяет шифрование сигнального и медиа трафика от и до конечных точек Cisco.

Защищенные приложения UC

Включение смешанного режима в выделенном экземпляре

Смешанный режим не включен по умолчанию в выделенном экземпляре.

Включение смешанного режима в выделенном экземпляре позволяет выполнять шифрование сигнального и медиа трафика от и до оконечного устройства Cisco.

В унифицированная (служба) Cisco CM 12.5(1) для клиентов Jabber и Webex был добавлен новый параметр шифрования сигнального и медиасигналов на основе OAuth SIP вместо смешанного режима / CTL. Таким образом, в выпуске Unified CM 12.5(1) SIP OAuth и SRTP можно использовать для шифрования сигналов и мультимедиа для клиентов Jabber или Webex. В настоящее время для IP-телефонов Cisco и других конечных точек Cisco по-прежнему требуется включение смешанного режима. В будущем выпуске планируется добавить поддержку SIP OAuth для оконечного тока 7800/8800.

Безопасность системы голосовых сообщений

Cisco Unity Connection Unified CM через порт TLS. Если режим безопасности устройства не является защищенным, Cisco Unity Connection к Unified CM через порт SCCP.

Для настройки безопасности портов голосовых сообщений Unified CM и устройств Cisco Unity с устройствами SCCP или Cisco Unity Connection с SCCP партнер может выбрать для порта режим защиты устройств. При выборе порта голосовой почты с аутентификацией открывается соединение TLS, которое аутентификация устройств с помощью mutual certificate exchange (каждое устройство принимает сертификат другого устройства). При выборе порта голосовой почты с шифрованием система сначала аутентификация устройств, а затем отправляет между устройствами зашифрованные голосовые потоки.

Дополнительные сведения о портах голосовых сообщений системы безопасности можно найти на сайте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Безопасность для SRST, магистральных шлюзов, шлюзов, CUBE/SBC

Если унифицированная (служба) Cisco CM на выделенном экземпляре не может завершить вызов, шлюз с поддержкой унифицированная (служба) Cisco удаленных сайтов (SRST) обеспечивает ограниченную обработку вызовов.

Защищенные шлюзы с поддержкой SRST содержат самозаверяя сертификат. После выполнения партнером задач настройки SRST в службе администрирования Unified CM Unified CM для аутентификации со службой поставщика сертификатов в шлюзе с поддержкой SRST используется соединение TLS. Затем Unified CM извлекает сертификат из шлюза с поддержкой SRST и добавляет сертификат в базу данных Unified CM.

После сброса партнером зависимых устройств в службе администрирования Unified CM сервер TFTP добавляет сертификат шлюза с поддержкой SRST в файл cnf.xml телефона и отправляет файл на телефон. Защищенный телефон затем использует соединение TLS для взаимодействия с шлюзом с поддержкой SRST.

Рекомендуется иметь защищенные магистрали для вызова, исходящие от унифицированная (служба) Cisco CM к шлюзу, для исходящие вызовы PSTN или обхода через граничный элемент унифицированная (служба) Cisco (CUBE).

Магистрали SIP поддерживают защищенные вызовы как для сигнального, так и для мультимедиа; Протокол TLS обеспечивает шифрование сигнального сигнала, а SRTP обеспечивает шифрование мультимедиа.

Защита коммуникаций между унифицированная (служба) Cisco CM и CUBE

Для безопасного взаимодействия между унифицированная (служба) Cisco CM и CUBE партнеры/клиенты должны использовать либо самозаверяют сертификаты, либо сертификаты, подписанные ЦС.

Для самозаверяных сертификатов:

  1. CUBE и унифицированная (служба) Cisco CM создают самозаверяют сертификаты

  2. CUBE экспортирует сертификат в унифицированная (служба) Cisco CM

  3. унифицированная (служба) Cisco CM экспортирует сертификат в CUBE

Для сертификатов, подписанных ЦС:

  1. Клиент создает пару ключей и отправляет запрос на подпись сертификата (CSR) в центр сертификации (CA).

  2. ЦС подписывает его с помощью закрытого ключа, создавая сертификат удостоверения

  3. Клиент устанавливает список доверенных корневых и посредникных сертификатов ca и сертификата идентификации

Безопасность для удаленных оконечных точек

При наличии конечных точек Remote Access (MRA) сигнализация и мультимедиа всегда шифруются между конечными точками MRA и Expressway узлами. Если для конечных точек MRA используется протокол установления интерактивного соединения (ICE), для оконечного устройства MRA необходимо шифрование сигнального протокола и среды оконечного устройства. Однако для шифрования сигнального и медиасигналов между серверами Expressway-C и внутренними серверами Unified CM, внутренними конечными точками или другими внутренними устройствами необходим смешанный режим или SIP OAuth.

Cisco Expressway обеспечивает безопасный обход брандмауэра и поддержку на стороне линии для регистраций Unified CM. Unified CM обеспечивает управление вызовами как для мобильных, так и для локальной конечных точек. Сигнальный сигнал проходит через решение Expressway между удаленным оконечнным точком и Unified CM. Мультимедиа проходит через Expressway и ретранслируется между конечными точками напрямую. Все мультимедиа шифруются между Expressway-C и мобильной конечной точкой.

Любое решение MRA требует на Expressway Unified CM с совместимыми с MRA клиентами и/или фиксированными конечными точками. Дополнительное решение может включать службы im и Presence и Unity Connection.

Сводная информация о протоколе

В таблице ниже показаны протоколы и связанные с ними службы, используемые в решении Unified CM.

Таблица 1. Протоколы и связанные с ними службы

Протокол

Безопасность

Служба

SIP

TLS

Установление сеанса: Регистрация, приглашение и т. д.

HTTPS

TLS

Войт, и подготовка/настройка, каталог, визуальная голосовая почта

Медиа-

SRTP

Носителя: Аудио, видео, совместный доступ к контенту

XMPP

TLS

Обмен мгновенными сообщениями, присутствие, федерация

Более подробную информацию о конфигурации MRA см. в: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Параметры конфигурации

Выделенный экземпляр обеспечивает партнеру гибкие возможности настройки служб для конечных пользователей посредством полного управления настройкой двухдневных конфигураций. В результате партнер исключительно отвечает за надлежащую настройку службы выделенных экземпляров для среды конечного пользователя. К ним, в частности, относятся:

  • Выбор безопасных/незабезопасных вызовов, протоколов защиты и защиты, таких как SIP/sSIP, http/https и т. д., и понимание всех связанных с этим факторов риска.

  • Для всех MAC-адресов, не настроенных как безопасные SIP в выделенном экземпляре, злоумышленник может отправлять сообщение регистрации SIP с помощью этого MAC-адреса и иметь возможность посылать вызовы SIP, что приводит к мошенничеству. Злоумышленник может зарегистрировать свое устройство или программное обеспечение SIP в выделенном экземпляре без авторизации, если он знает MAC-адрес устройства, зарегистрированного в выделенном экземпляре.

  • Expressway вызовов "-E", для предотвращения мошенничества при оплате вызовов необходимо настроить правила преобразования и поиска. Чтобы получить более подробную информацию о предотвращении мошенничества с использованием Expressway, обратитесь к разделу Безопасность Expressway C и Expressway-E для совместной работы SRND.

  • Конфигурация плана набора, чтобы обеспечить пользователям возможность набора только разрешенных назначений, например запретить набор международных или международных номеров, правильную маршрутирую экстренные вызовы и т. д. Чтобы получить дополнительные сведения об ограничении с помощью план набора, обратитесь к разделу План набора номера SRND для совместной работы.

Требования к сертификатам для безопасных соединений в выделенном экземпляре

Для выделенного экземпляра Cisco предоставит домен и подпишет все сертификаты для приложений UC с помощью публичного сертификата (CA).

Выделенный экземпляр – номера портов и протоколы

Параметр тестирования

В таблицах ниже описаны порты и протоколы, поддерживаемые в выделенном экземпляре. Порты, используемые для данного клиента, зависят от развертывания и решения клиента. Протоколы зависят от предпочтений клиента (SCCP и SIP), существующих локально устройств и от уровня безопасности, который необходимо использовать для каждого развертывания.

Выделенный экземпляр – порты клиента

Доступные для клиентов порты – между помещением клиента и выделенным экземпляром отображается в таблице 1 Выделенные порты клиента экземпляра. Все перечисленные ниже порты для трафика клиента, который проходит через одноранговые соединения.


Порт SNMP поддерживается только для функциональных возможностей CER, а не для любых инструментов мониторинга сторонних систем.


Порты в диапазоне от 5063 до 5080 зарезервированы Cisco для других интеграций в облаке. Администраторам партнеров и клиентов не рекомендуется использовать эти порты в своих конфигурациях.

Таблица 2. Порты клиента для выделенных экземпляров

Протокол

TCP/UCP

Источник

Адресат

Порт источника

Порт назначения

Цель

Ssh

Протокол TCP

Клиент

Приложения UC

Более 1023

22

Администрирование

LDAP;

Протокол TCP

Приложения UC

Внешний каталог

Более 1023

389

Синхронизация каталогов с клиентом LDAP

HTTPS

Протокол TCP

Браузер

Приложения UC

Более 1023

443

Веб-доступ для интерфейсов самостоятельного обслуживания и администрирования

LDAP (БЕЗОПАСНЫЙ)

Протокол TCP

Приложения UC

Внешний каталог

Более 1023

636

Синхронизация каталогов с клиентом LDAP

SCCP

Протокол TCP

Терминальное устройство

Unified CM, CUCxn

Более 1023

2000

Сигнализация вызовов

SCCP

Протокол TCP

Unified CM

Unified CM, шлюз

Более 1023

2000

Сигнализация вызовов

SCCP (БЕЗОПАСНЫЙ)

Протокол TCP

Терминальное устройство

Unified CM, CUCxn

Более 1023

2443

Сигнализация вызовов

SCCP (БЕЗОПАСНЫЙ)

Протокол TCP

Unified CM

Unified CM, шлюз

Более 1023

2443

Сигнализация вызовов

Проверка доверия

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

2445

Предоставление конечным точкам службы проверки доверия

Cti

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

2748

Соединение между приложениями CTI (JTAPI/TSP) и CTIManager

Защищенная CTI

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

2749

Безопасное соединение между приложениями CTI (JTAPI/TSP) и CTIManager

Глобальный каталог LDAP

Протокол TCP

Приложения UC

Внешний каталог

Более 1023

3268

Синхронизация каталогов с клиентом LDAP

Глобальный каталог LDAP

Протокол TCP

Приложения UC

Внешний каталог

Более 1023

3269

Синхронизация каталогов с клиентом LDAP

Служба CAPF

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

3804

Порт прослушивания функции прокси-сервера органов сертификации (CAPF) для выдачи IP-телефонам сертификатов местного разрешения (LSC)

SIP

Протокол TCP

Терминальное устройство

Unified CM, CUCxn

Более 1023

5060

Сигнализация вызовов

SIP

Протокол TCP

Unified CM

Unified CM, шлюз

Более 1023

5060

Сигнализация вызовов

SIP (БЕЗОПАСНЫЙ)

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

5061

Сигнализация вызовов

SIP (БЕЗОПАСНЫЙ)

Протокол TCP

Unified CM

Unified CM, шлюз

Более 1023

5061

Сигнализация вызовов

SIP (OAUTH)

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

5090

Сигнализация вызовов

XMPP

Протокол TCP

Клиент Jabber

Cisco IM&P

Более 1023

5222

Обмен мгновенными сообщениями и присутствие

HTTP

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

6970

Загрузка конфигурации и изображений в конечные точки

HTTPS

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

6971

Загрузка конфигурации и изображений в конечные точки

HTTPS

Протокол TCP

Терминальное устройство

Unified CM

Более 1023

6972

Загрузка конфигурации и изображений в конечные точки

HTTP

Протокол TCP

Клиент Jabber

CUCxn

Более 1023

7080

Уведомления голосовой почты

HTTPS

Протокол TCP

Клиент Jabber

CUCxn

Более 1023

7443

Уведомления о защищенной голосовой почте

HTTPS

Протокол TCP

Unified CM

Unified CM

Более 1023

7501

Используется службой межluster Lookup Service (ILS) для аутентификации на основе сертификатов

Исходящие сообщения (SECURE)

Протокол TCP

Приложение UC

CUCxn

Более 1023

587

Используется для составить и передать защищенные сообщения любым назначенным получателям

HTTPS

Протокол TCP

Unified CM

Unified CM

Более 1023

7502

Используется ILS для аутентификации на основе пароля

IMAP

Протокол TCP

Клиент Jabber

CUCxn

Более 1023

7993

IMAP по TLS

HTTPS

Протокол TCP

Браузер, конечная точка

Приложения UC

Более 1023

8443

Веб-доступ для самостоятельного управления и административных интерфейсов, UDS

HTTPS

Протокол TCP

Предварительная

Unified CM

Более 1023

9443

Поиск контактов с аутентификацией

Защищенный RTP/SRTP

UDP

Unified CM

Телефон

С 16384 по 32767*

С 16384 по 32767*

Мультимедиа (аудио) – музыка в удержании, Annunciator, программный мост конференц-связи (открыт на основании сигналов вызова)

Защищенный RTP/SRTP

UDP

Телефон

Unified CM

С 16384 по 32767*

С 16384 по 32767*

Мультимедиа (аудио) – музыка в удержании, Annunciator, программный мост конференц-связи (открыт на основании сигналов вызова)

ICMP

ICMP

Терминальное устройство

Приложения UC

н/д

н/д

Проверка связи

ICMP

ICMP

Приложения UC

Терминальное устройство

н/д

н/д

Проверка связи

* Для некоторых особых случаев может применяться большее количество случаев.

Выделенный экземпляр – порты OTT

Ниже приводится список портов, которые могут использоваться клиентами и партнерами для настройки мобильных Remote Access (MRA).

Таблица 3. Список портов для OTT

Протокол

TCP/UCP

Источник

Адресат

Порт источника

Порт назначения

Цель

БЕЗОПАСНЫЙ SIP

Протокол TCP

Терминальное устройство

Expressway E

Более 1023

5061

Защищенная сигнализация SIP для регистрации и вызовов MRA

БЕЗОПАСНЫЙ SIP

Протокол TCP

Конечная точка/сервер

Expressway E

Более 1023

5062

Безопасный SIP для вызовов B2B

ЗАЩИЩЕННЫЙ RTP/RTCP

UDP

Конечная точка/сервер

Expressway E

Более 1023

36000-59999

Защищенный медиа -для вызовов MRA и B2B

HTTPS (БЕЗОПАСНЫЙ)

TLS

Клиент

Expressway E

Более 1023

8443

CUCM UDS и CUCxn REST для вызовов MRA

XMLS

TLS

Клиент

Expressway E

Более 1023

5222

Мгновенные мгновенные мгновенные прохождение и присутствие

ПОВОРОТ

UDP

КЛИЕНТ ICE

Expressway E

Более 1023

3478

Согласование ICE/STUN/TURN

ЗАЩИЩЕННЫЙ RTP/RTCP

Upd

КЛИЕНТ ICE

Expressway E

Более 1023

24000-29999

ВЫКЛЮЧИТЬ мультимедиа для отката ICE

Выделенный экземпляр – порты UCCX

Клиенты и партнеры могут использовать следующий список портов для настройки UCCX.

Таблица 4. Порты Cisco UCCX

Протокол

TCP / UCP

Источник

Адресат

Порт источника

Порт назначения

Цель

Ssh

Протокол TCP

Клиент

UCCX

Более 1023

22

SFTP и SSH

Informix

Протокол TCP

Клиент или сервер

UCCX

Более 1023

1504

Порт базы данных Unified CCX

SIP

UDP и TCP

Сервер SIP GW или MCRP

UCCX

Более 1023

5065

Связь с удаленными узлами GW и MCRP

XMPP

Протокол TCP

Клиент

UCCX

Более 1023

5223

Безопасное соединение XMPP между сервером Finesse и пользовательскими сторонними приложениями

Cvd

Протокол TCP

Клиент

UCCX

Более 1023

6999

Приложения Editor to CCX

HTTPS

Протокол TCP

Клиент

UCCX

Более 1023

7443

Безопасное подключение КОШ между сервером Finesse и рабочими столами операторов и диспетчеров для передачи данных по HTTPS

HTTP

Протокол TCP

Клиент

UCCX

Более 1023

8080

Клиенты отчетов в прямом эфире подключаются к socket. Сервер IO

HTTP

Протокол TCP

Клиент

UCCX

Более 1023

8081

Клиентский браузер пытается получить доступ к веб унифицированная (служба) Cisco-интерфейсу Intelligence Center

HTTP

Протокол TCP

Клиент

UCCX

Более 1023

8443

Интерфейс администратора, RTMT, доступ к БД через SOAP

HTTPS

Протокол TCP

Клиент

UCCX

Более 1023

8444

унифицированная (служба) Cisco- и web-интерфейса Intelligence Center

HTTPS

Протокол TCP

Клиенты для браузеров и REST

UCCX

Более 1023

8445

Защищенный порт для Finesse

HTTPS

Протокол TCP

Клиент

UCCX

Более 1023

8447

HTTPS – онлайн-справка центра Unified Intelligence Center

HTTPS

Протокол TCP

Клиент

UCCX

Более 1023

8553

Компоненты системы единого SSO (SSO) имеют доступ к данному интерфейсу для получения информации о состоянии работы Системы Cisco IdS.

HTTP

Протокол TCP

Клиент

UCCX

Более 1023

9080

Клиенты, пытаются получить доступ к триггерам HTTP, документам, подсказкам/ грамматикам / данным в прямом эфире.

HTTPS

Протокол TCP

Клиент

UCCX

Более 1023

9443

Защищенный порт, используемый для реагирования на запросы клиентов о доступе к триггерам HTTPS

Протокол TCP

Протокол TCP

Клиент

UCCX

Более 1023

12014

Это порт, на котором клиенты отчетов в прямом времени могут подключаться к разъему. Сервер IO

Протокол TCP

Протокол TCP

Клиент

UCCX

Более 1023

12015

Это порт, на котором клиенты отчетов в прямом времени могут подключаться к разъему. Сервер IO

Cti

Протокол TCP

Клиент

UCCX

Более 1023

12028

Клиент CTI третьей стороны к CCX

RTP (мультимедиа)

Протокол TCP

Терминальное устройство

UCCX

Более 1023

Более 1023

При необходимости порт мультимедиа открывается динамически.

RTP (мультимедиа)

Протокол TCP

Клиент

Терминальное устройство

Более 1023

Более 1023

При необходимости порт мультимедиа открывается динамически.

Безопасность клиента

Защита Jabber и Webex с помощью SIP OAuth

Аутентификация клиентов Jabber и Webex обеспечивается посредством маркера OAuth вместо локального сертификата (LSC), что не требует возможности аутентификации прокси-сервера сертификации (CAPF) (для MRA). В унифицированная (служба) Cisco CM 12.5(1), Jabber 12.5 и Expressway X12.5 был введен SIP OAuth и без него.

В унифицированная (служба) Cisco CM 12.5 в профиле безопасности телефона есть новый параметр, позволяющий шифрование без использования LSC/CAPF с использованием маркера OAuth + single Transport Layer Security (TLS) + OAuth в SIP REGISTER. Expressway-C узлы используют API административной веб-службы XML (AXL) для информирования унифицированная (служба) Cisco CM о SN/SAN в своем сертификате. унифицированная (служба) Cisco CM использует эту информацию для проверки сертификата Exp-C при установлении mutual TLS соединения.

SIP OAuth включает шифрование мультимедиа и сигнального трафика без сертификата конечной точки (LSC).

Для скачивания файлов конфигурации Cisco Jabber через подключение HTTPS к серверу TFTP использует ненамеренный порт и защищенные порты 6971 и 6972. Порт 6970 является неза защищенным портом для загрузки посредством HTTP.

Дополнительные сведения о конфигурации SIP OAuth: Режим SIP OAuth.

Требования к DNS

Для отдельного экземпляра Cisco предоставляет FQDN для службы в каждом регионе в следующем формате <customer>.<region> wxc-di.webex.com, например , xyz.amer.wxc-di.webex.com.

Значение клиента предоставляется администратором в рамках мастера первой настройки (FTSW). Дополнительные сведения можно найти в ссылке Активация службы для выделенных экземпляров.

Для поддержки локального устройства, подключенного к выделенной службе, необходимо разрешить записи DNS для этого FQDN на внутреннем DNS-сервере клиента. Для упрощения разрешения проблем клиенту необходимо настроить условный перенастройщик для этого FQDN на DNS-сервере, который будет на сервере DNS, а также на службу DNS выделенного экземпляра. Служба DNS выделенного экземпляра является региональной и может быть достигнута посредством пиринга на выделенный экземпляр с использованием следующих IP-адресов , как упоминалось в приведенной ниже таблице IP-адрес службы выделенных экземпляров DNS.

Таблица 5. IP-адрес службы DNS выделенного экземпляра

Регион/ЦС

IP-адрес службы DNS выделенного экземпляра

Пример условной переадментции

Северная и Южная Америка

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

Азиатско-тихоокеанский регион, Япония и Китай.

<customer>.apjc.wxc-di.webex.com

Tok

103.232.71.100

Грех

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Мел

178.215.128.100

Сид

178.215.128.228


В целях безопасности параметр ping отключен для вышеуказанных IP-адресов DNS-серверов.

Устройства не смогут регистрироваться в выделенном экземпляре из внутренней сети клиента посредством одноранговых ссылок, пока не будет зарегистрировано условное перенаправляние. Условная переадментация не требуется для регистрации с помощью мобильных устройств и службы Remote Access (MRA), поскольку все необходимые внешние записи DNS для упрощения MRA будут предварительно подготовки компании Cisco.

При использовании приложения Webex в качестве программы телефонии для выделенного экземпляра необходимо настроить профиль менеджера UC в Control Hub для домена голосовой службы (VSD) в каждом регионе. Дополнительные сведения можно найти в профиле менеджера UC в Cisco Webex Control Hub. Приложение Webex сможет автоматически разрешать клиентскую сеть Expressway Edge без какого-либо вмешательства конечного пользователя.


Домен голосовой службы будет предоставлен клиенту в рамках документа о доступе партнера после завершения активации службы.