Требования к сети для выделенного экземпляра

Выделенный экземпляр Webex Calling входит в портфель решений службы Cisco Cloud Calling и работает на базе технологии для совместной работы Cisco Unified Communications Manager (Cisco Unified CM). Выделенный экземпляр предлагает решения для передачи голоса, видео, обмена сообщениями и обеспечения мобильности, а также функции и преимущества IP-телефонов, мобильных устройств и настольных клиентов Cisco, которые безопасно подключаются к выделенному экземпляру.

Эта статья предназначена для администраторов сети, в частности для администраторов брандмауэра и безопасности прокси, которые хотят использовать выделенный экземпляр в своей организации. В этом документе в первую очередь уделяется внимание требованиям к сети и безопасности для решения выделенного экземпляра, в том числе многоуровневому подходу к функциям и функциональным возможностям, которые обеспечивают безопасный физический доступ, защищенные терминальные устройства, приложения и сеть Cisco UC.

Обзор средств обеспечения безопасности. Безопасность на различных уровнях

Для выделенного экземпляра безопасность обеспечивается посредством многоуровневого подхода. Уровни включают перечисленные ниже.

  • Физический доступ

  • Сеть

  • Конечные точки

  • Приложения UC

В следующих разделах описаны уровни безопасности в развертываниях выделенных экземпляров.

Физическая безопасность

Важно обеспечить физическую безопасность для местоположений комнат Meet-Me Room от компании Equinix и средств центра обработки данных выделенных экземпляров Cisco. В случае нарушения физической безопасности могут произойти простые атаки, такие как нарушение работы служб путем отключения питания коммутаторов клиента. При физическом доступе злоумышленники могут получить доступ к серверным устройствам, сбросить пароли и получить доступ к коммутаторам. Физический доступ также облегчает более сложные атаки, например атаки типа "злоумышленник в середине", поэтому второй уровень безопасности, то есть безопасность сети, критически важен.

Самошифруемые диски используются в центрах обработки данных выделенного экземпляра, где размещаются приложения UC.

Дополнительную информацию об общей практике обеспечения безопасности можно найти в документации на следующей странице: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Безопасность сети

Партнерам необходимо обеспечить безопасность всех элементов сети в инфраструктуре выделенного экземпляра (которая подключается через Equinix). Именно партнер отвечает за применение практических рекомендаций обеспечения безопасности, например:

  • использование отдельной сети VLAN для голосовой связи и передачи данных;

  • включение параметров безопасности портов, которые ограничивают количество MAC-адресов, допустимых для одного порта, с целью защиты от лавинной атаки таблицы CAM;

  • применение технологии защиты IP Source Guard от подмены IP-адресов;

  • использование функции Dynamic ARP Inspection (DAI), которая анализирует протокол Address Resolution Protocol (ARP) и самообращенные запросы ARP (GARP) на наличие нарушений (с целью защиты от подмены ARP);

  • 802. Ограничение1x доступа к сети для аутентификации устройств в присвоенных сетях VLA (телефоны поддерживают 802.1x)

  • настройка соответствующей маркировки пакетов данных голосовой связи в разрезе качества обслуживания (QoS);

  • установка конфигураций портов брандмауэра для блокирования любого другого трафика.

Безопасность терминальных устройств

Терминальные устройства Cisco поддерживают такие функции безопасности по умолчанию, как подписанное микропрограммное обеспечение, защищенная загрузка (на выбранных моделях), установленный изготовителем сертификат (MIC) и подписанные файлы конфигурации, которые обеспечивают определенный уровень безопасности для терминальных устройств.

Кроме того, партнер или клиент может обеспечить повышенную безопасность такими способами:

  • шифровать связь по IP-телефону (посредством HTTPS) в разрезе таких служб, как Extension Mobility;

  • выпускать локально значимые сертификаты (LSC) с помощью функции прокси центра сертификации (CAPF) или общедоступного центра сертификации (ЦС);

  • шифровать файлы конфигурации;

  • шифровать данные мультимедиа и передачу сигналов;

  • отключать следующие настройки, если они не используются: порт ПК, доступ к пакетам данных голосовой связи в сети VLAN, получаемым портом ПК, самообращенные запросы ARP, веб-доступ, кнопку настроек, SSH, консоль.

Реализация механизмов обеспечения безопасности в выделенном экземпляре предотвращает хищение удостоверений телефонов и сервера Unified CM, а также фальсификацию данных, передачи сигналов вызовов и потока мультимедиа.

Выделенный экземпляр в сети:

  • устанавливает и поддерживает аутентифицированные потоки связи;

  • осуществляет цифровую подпись файлов перед их передачей на телефон;

  • шифрует потоки мультимедиа и передачу сигналов вызовов между IP-телефонами Cisco Unified.

Настройка безопасности по умолчанию

По умолчанию система безопасности обеспечивает работу следующих автоматических функций безопасности IP-телефонов Cisco Unified:

  • подписание файлов конфигурации телефона;

  • поддержка шифрования файлов конфигурации телефона;

  • HTTPS с Tomcat и другими веб-службами (MDlets).

В Unified CM выпуска 8.0 и последующих эти функции безопасности предоставляются по умолчанию, при этом не требуется клиент списка доверенных сертификатов (CTL).

Служба проверки доверия

Поскольку в сети много телефонов, а объем памяти IP-телефонов ограничен, Cisco Unified CM играет роль удаленного хранилища доверия посредством службы проверки доверия (TVS), поэтому размещать хранилище доверенных сертификатов на каждом телефоне не обязательно. Для проведения проверки IP-телефоны Cisco связываются с сервером TVS, поскольку они не могут проверить подпись или сертификат с помощью файлов CTL или ITL. Проще управлять централизованным хранилищем доверия, чем размещать это хранилище доверия на каждом IP-телефоне Cisco Unified.

TVS позволяет IP-телефонам Cisco Unified выполнять аутентификацию серверов приложений, таких как службы экстренного устранения рисков, каталог и (MIDlet), во время установления HTTPS.

Исходный список доверия

Файл исходного списка доверия (ITL) используется для обеспечения безопасности на начальном уровне и позволяет установить доверие между терминальными устройствами и Cisco Unified CM. ITL не требует включения каких-либо функций безопасности. Файл ITL создается автоматически после установки кластера. Закрытый ключ сервера Trivial File Transfer Protocol (TFTP) в Unified CM используется для подписи файла ITL.

Если кластер или сервер Cisco Unified CM находится в незащищенном режиме, файл ITL скачивается на любой поддерживаемый IP-телефон Cisco. Партнер может просматривать содержимое файла ITL с помощью следующей команды CLI: admin:show itl.

Файл ITL необходим для IP-телефонов Cisco для выполнения следующих задач:

  • безопасная связь с CAPF – предварительное условие для поддержки шифрования файлов конфигурации;

  • аутентификация подписи файла конфигурации;

  • аутентификация серверов приложений, таких как службы экстренного устранения рисков, каталог и MIDlet, во время установления HTTPS с помощью TVS.

Cisco CTL

Аутентификация устройств, файлов и передачи сигналов зависит от создания файла списка доверенных сертификатов (CTL). Этот файл создается после того, как партнер или клиент установит и настроит клиент списка доверенных сертификатов Cisco.

Файл CTL содержит записи для следующих серверов или маркеров безопасности:

  • маркер безопасности для системного администратора (SAST);

  • службы Cisco CallManager и Cisco TFTP, запущенные на одном сервере;

  • функция прокси центра сертификации (CAPF);

  • сервер(-ы) TFTP;

  • межсетевой экран ASA.

Файл CTL содержит сертификат сервера, открытый ключ, серийный номер, подпись, имя издателя, имя субъекта, функцию сервера, имя DNS и IP-адрес для каждого сервера.

Безопасность телефона, обеспечиваемая с помощью CTL, отвечает за работу следующих функций:

  • аутентификация скачанных файлов TFTP (конфигурация, региональные параметры, список мелодий и т. д.) с помощью ключа подписи;

  • шифрование файлов конфигурации TFTP с помощью ключа подписи;

  • зашифрованная передача сигналов вызова для IP-телефонов;

  • зашифрованное аудио (мультимедиа) вызова для IP-телефонов.

Безопасность IP-телефонов Cisco в выделенном экземпляре

Выделенный экземпляр обеспечивает регистрацию терминального устройства и обработку вызовов. Передача сигналов между Cisco Unified CM и терминальными устройствами основана на безопасном протоколе Skinny Client Control Protocol (SCCP) или протоколе установления сеанса (SIP) и может быть зашифрована с помощью протокола Transport Layer Security (TLS). Мультимедиа, передаваемые от терминальных устройств или на них, основываются на транспортном протоколе передачи данных в режиме реального времени (RTP) и также могут быть зашифрованы с помощью безопасного протокола RTP (SRTP).

Включение смешанного режима в Unified CM позволяет шифровать передачу сигналов и трафика мультимедиа от терминальных устройств Cisco и на них.

Безопасные приложения UC

Включение смешанного режима в выделенном экземпляре

По умолчанию смешанный режим не включен в выделенном экземпляре.

Включение смешанного режима в выделенном экземпляре позволяет выполнять шифрование передачи сигналов и трафика мультимедиа от терминальных устройств Cisco и на них.

В Cisco Unified CM выпуска 12.5(1) для клиентов Jabber и Webex был добавлен новый параметр шифрования передачи сигналов и мультимедиа на основе OAuth SIP вместо смешанного режима или CTL. То есть в выпуске Unified CM 12.5(1) шифровать передачу сигналов и мультимедиа для клиентов Jabber или Webex можно с помощью SRTP и OAuth SIP. В настоящее время для IP-телефонов Cisco и других терминальных устройств Cisco по-прежнему требуется включать смешанный режим. В одном из будущих выпусков планируется добавить поддержку OAuth SIP для терминальных устройств 7800 и 8800.

Безопасность системы голосовых сообщений

Cisco Unity Connection подключается к Unified CM через порт TLS. Если режим безопасности устройства не является защищенным, Cisco Unity Connection подключается к Unified CM через порт SCCP.

Для настройки безопасности для портов обмена голосовыми сообщениями Unified CM и устройств Cisco Unity с SCCP или устройств Cisco Unity Connection с SCCP партнер может выбрать для порта режим безопасности устройств. При выборе порта голосовой почты с аутентификацией открывается соединение TLS, которое обеспечивает аутентификацию устройств путем взаимного обмена сертификатами (каждое устройство принимает сертификат другого устройства). При выборе порта голосовой почты с шифрованием система сначала выполняет аутентификацию устройств, а затем отправляет между устройствами зашифрованные потоки данных голосовой связи.

Дополнительные сведения о портах безопасного обмена голосовыми сообщениями можно найти на следующей странице: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Безопасность в разрезе SRST, магистралей, шлюзов, CUBE и SBC

Если Cisco Unified CM на выделенном экземпляре не может завершить вызов, шлюз с унифицированной службой телефонии для обеспечения связи с удаленным филиалом (SRST) Cisco обеспечивает ограниченные возможности задач по обработке вызовов.

Безопасные шлюзы с поддержкой SRST содержат самоподписанный сертификат. После того как партнер выполнит задачи по настройки SRST в службе администрирования Unified CM, Unified CM будет использовать соединение TLS для аутентификации со службой поставщика сертификатов в шлюзе с поддержкой SRST. Затем Unified CM извлечет сертификат из шлюза с поддержкой SRST и добавит его в базу данных Unified CM.

После того как партнер сбросит настройки зависимых устройств в службе администрирования Unified CM, сервер TFTP добавит сертификат шлюза с поддержкой SRST в файл cnf.xml телефона и отправит этот файл на телефон. Затем защищенный телефон будет взаимодействовать со шлюзом с поддержкой SRST посредством соединения TLS.

Рекомендуется иметь защищенные магистрали для вызова, который отправляется из Cisco Unified CM на шлюз (исходящие вызовы PSTN) или передается через Cisco Unified Border Element (CUBE).

Магистрали SIP могут поддерживать защищенные вызовы как для передачи сигналов, так и для мультимедиа. TLS обеспечивает шифрование передачи сигналов, а SRTP обеспечивает шифрование мультимедиа.

Обеспечение безопасности коммуникаций между Cisco Unified CM и CUBE

Для безопасной коммуникации между Cisco Unified CM и CUBE партнеры и клиенты должны использовать либо самоподписанные сертификаты, либо сертификаты, подписанные ЦС.

Самоподписанные сертификаты.

  1. CUBE и Cisco Unified CM создают самоподписанные сертификаты.

  2. CUBE экспортирует сертификат в Cisco Unified CM.

  3. Cisco Unified CM экспортирует сертификат в CUBE.

Сертификаты, подписанные ЦС.

  1. Клиент создает пару ключей и отправляет запрос на подпись сертификата (CSR) в центр сертификации (ЦС).

  2. ЦС подписывает его с помощью закрытого ключа, создавая сертификат удостоверения.

  3. Клиент устанавливает список с доверенными корневыми и промежуточными сертификатами и сертификатом удостоверения.

Безопасность в разрезе удаленных терминальных устройств

Если есть терминальные устройства, поддерживающие доступ с мобильных устройств и удаленный доступ (MRA), передача сигналов и мультимедиа между терминальными устройствами MRA и узлами Expressway всегда шифруется. Если для терминальных устройств MRA используется протокол установления интерактивного соединения (ICE), для терминальных устройств MRA шифрование передачи сигналов и мультимедиа является обязательным. Однако для шифрования передачи сигналов и мультимедиа между Expressway-C и внутренними серверами Unified CM, внутренними терминальными устройствами или другими внутренними устройствами требуется смешанный режим или OAuth SIP.

Cisco Expressway обеспечивает безопасный обход брандмауэра и поддержку на линии для регистраций Unified CM. Unified CM обеспечивает управление вызовами как для мобильных, так и для локальных терминальных устройств. Сигналы передаются через решение Expressway между удаленным терминальным устройством и Unified CM. Мультимедиа передаются через решение Expressway и ретранслируются непосредственно между терминальными устройствами. Все мультимедиа шифруются между Expressway-C и мобильным терминальным устройством.

Для всех решений MRA требуются Expressway и Unified CM с совместимыми с MRA клиентами и/или стационарными терминальными устройствами. При необходимости это решение может включать службы обмена мгновенными сообщениями и состояния доступности и Unity Connection.

Сводная информация о протоколах

В таблице ниже перечислены протоколы и связанные с ними службы, используемые в решении Unified CM.

Таблица 1. Протоколы и связанные с ними службы

Протокол

Безопасность

Служба

SIP

TLS

Установление сеанса: регистрация, приглашение и т. д.

HTTPS

TLS

Вход, подготовка и настройка, каталог, визуальная голосовая почта

Медиа-

SRTP

Мультимедиа: аудио, видео, совместный доступ к контенту

XMPP

TLS

Обмен мгновенными сообщениями, состояние доступности, федерация

Дополнительную информацию о конфигурации MRA см. на странице https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Параметры конфигурации

Выделенный экземпляр обеспечивает партнеру гибкие возможности настройки служб для конечных пользователей посредством полного управления конфигурациями основных операций, выполняемых после установки и настройки системы. В результате партнер несет исключительную ответственность за надлежащую настройку службы выделенного экземпляра для среды конечного пользователя. В том числе он отвечает за указанное далее.

  • Выбор защищенных или незащищенных вызовов, безопасных или небезопасных протоколов, таких как SIP и sSIP, http и https и т. д., и изучение всех связанных с этим факторов риска.

  • Для всех MAC-адресов, не настроенных как безопасные за счет SIP, в выделенном экземпляре, злоумышленник может отправить сообщение для регистрации SIP с помощью этого MAC-адреса и сможет совершать вызовы SIP в целях мошенничества. Это происходит потому, что злоумышленник может зарегистрировать свое ПО или устройство SIP в выделенном экземпляре, не выполняя при этом авторизацию, если он знает MAC-адрес устройства, зарегистрированного в выделенном экземпляре.

  • В целях предотвращения мошенничества необходимо настроить политики в отношении вызовов, а также правила преобразования и поиска, применимые к Expressway-E. Дополнительную информацию о предотвращении мошенничества с помощью Expressway см. в разделе об обеспечении безопасности "Expressway-C и Expressway-E" рекомендаций по сетевому проектированию решений (SRND) для совместной работы.

  • Настроить план набора, чтобы пользователи могли выполнять набор только в рамках разрешенных назначений, например запретить набор междугородных или международных номеров, настроить надлежащую маршрутизацию экстренных вызовов и т. д. Дополнительную информацию о применении ограничений в использовании плана набора см. в разделе План набора рекомендаций по сетевому проектированию решений (SRND) для совместной работы.

Требования к сертификатам для безопасных соединений в выделенном экземпляре

Что касается выделенного экземпляра, Cisco предоставит домен и подпишет все сертификаты для приложений UC, используя общедоступный центр сертификации.

Выделенный экземпляр: номера портов и протоколы

В таблицах ниже описаны порты и протоколы, поддерживаемые в выделенном экземпляре. Порты, используемые для отдельного клиента, зависят от развертывания и решения клиента. Протоколы зависят от предпочтений клиента (SCCP или SIP), существующих локальных устройств и от уровня безопасности, который позволяет определить, какие порты необходимо использовать для того или иного развертывания.

Выделенный экземпляр: порты клиента

Доступные для клиентов порты, расположенные между помещением клиента и выделенным экземпляром, показаны в таблице 1 Порты клиента выделенного экземпляра. Все перечисленные ниже порты предназначены для передачи трафика клиента через пиринговые ссылки.


Порт SNMP поддерживается только для функциональных возможностей CER, а не для любых других сторонних инструментов мониторинга.


Порты в диапазоне от 5063 до 5080 зарезервированы Cisco для других интеграций в облаке. Администраторам партнеров и клиентов не рекомендуется использовать эти порты в своих конфигурациях.

Таблица 2. Порты клиента выделенного экземпляра

Протокол

TCP/UCP

Источник

Адресат

Исходный порт

Порт назначения

Цель

SSH

TCP

Клиент

Приложения UC

Больше чем 1023

22

Администрирование

LDAP;

TCP

Приложения UC

Внешний каталог

Больше чем 1023

389

Синхронизация каталогов с LDAP клиента

HTTPS

TCP

Браузер

Приложения UC

Больше чем 1023

443

Веб-доступ для интерфейсов самостоятельного обслуживания и администрирования

LDAP (БЕЗОПАСНЫЙ)

TCP

Приложения UC

Внешний каталог

Больше чем 1023

636

Синхронизация каталогов с LDAP клиента

SCCP

TCP

Терминальное устройство

Unified CM, CUCxn

Больше чем 1023

2000

Передача сигналов вызовов

SCCP

TCP

Unified CM

Unified CM, шлюз

Больше чем 1023

2000

Передача сигналов вызовов

SCCP (БЕЗОПАСНЫЙ)

TCP

Терминальное устройство

Unified CM, CUCxn

Больше чем 1023

2443

Передача сигналов вызовов

SCCP (БЕЗОПАСНЫЙ)

TCP

Unified CM

Unified CM, шлюз

Больше чем 1023

2443

Передача сигналов вызовов

Проверка доверия

TCP

Терминальное устройство

Unified CM

Больше чем 1023

2445

Предоставление терминальным устройствам службы проверки доверия

CTI

TCP

Терминальное устройство

Unified CM

Больше чем 1023

2748

Соединение между приложениями CTI (JTAPI/TSP) и службой CTIManager

Безопасная CTI

TCP

Терминальное устройство

Unified CM

Больше чем 1023

2749

Безопасное соединение между приложениями CTI (JTAPI/TSP) и службой CTIManager

Глобальный каталог LDAP

TCP

Приложения UC

Внешний каталог

Больше чем 1023

3268

Синхронизация каталогов с LDAP клиента

Глобальный каталог LDAP

TCP

Приложения UC

Внешний каталог

Больше чем 1023

3269

Синхронизация каталогов с LDAP клиента

Служба CAPF

TCP

Терминальное устройство

Unified CM

Больше чем 1023

3804

Порт прослушивания функции прокси центра сертификации (CAPF) для выпуска локально значимых сертификатов (LSC) для IP-телефонов

SIP

TCP

Терминальное устройство

Unified CM, CUCxn

Больше чем 1023

5060

Передача сигналов вызовов

SIP

TCP

Unified CM

Unified CM, шлюз

Больше чем 1023

5060

Передача сигналов вызовов

SIP (БЕЗОПАСНЫЙ)

TCP

Терминальное устройство

Unified CM

Больше чем 1023

5061

Передача сигналов вызовов

SIP (БЕЗОПАСНЫЙ)

TCP

Unified CM

Unified CM, шлюз

Больше чем 1023

5061

Передача сигналов вызовов

SIP (OAUTH)

TCP

Терминальное устройство

Unified CM

Больше чем 1023

5090

Передача сигналов вызовов

XMPP

TCP

Клиент Jabber

Cisco IM&P

Больше чем 1023

5222

Служба обмена сообщениями и отображения статуса присутствия

HTTP

TCP

Терминальное устройство

Unified CM

Больше чем 1023

6970

Скачивание конфигурации и изображений в терминальные устройства

HTTPS

TCP

Терминальное устройство

Unified CM

Больше чем 1023

6971

Скачивание конфигурации и изображений в терминальные устройства

HTTPS

TCP

Терминальное устройство

Unified CM

Больше чем 1023

6972

Скачивание конфигурации и изображений в терминальные устройства

HTTP

TCP

Клиент Jabber

CUCxn

Больше чем 1023

7080

Уведомления голосовой почты

HTTPS

TCP

Клиент Jabber

CUCxn

Больше чем 1023

7443

Безопасные уведомления голосовой почты

HTTPS

TCP

Unified CM

Unified CM

Больше чем 1023

7501

Используется службой межкластерного поиска (ILS) для аутентификации на основе сертификатов

HTTPS

TCP

Unified CM

Unified CM

Больше чем 1023

7502

Используется ILS для аутентификации на основе пароля

IMAP

TCP

Клиент Jabber

CUCxn

Больше чем 1023

7993

IMAP по TLS

HTTPS

TCP

Браузер, терминальное устройство

Приложения UC

Больше чем 1023

8443

Веб-доступ для интерфейсов самостоятельного обслуживания и администрирования, UDS

HTTPS

TCP

Локальное устройство

Unified CM

Больше чем 1023

9443

Поиск аутентифицированных контактов

Безопасный RTP/SRTP

UDP

Unified CM

Телефон

16384–32767 *

16384–32767 *

Мультимедиа (аудио) – мелодия режима удержания, устройство оповещения, программный мост для конференций (открытый на основании передачи сигналов вызовов)

Безопасный RTP/SRTP

UDP

Телефон

Unified CM

16384–32767 *

16384–32767 *

Мультимедиа (аудио) – мелодия режима удержания, устройство оповещения, программный мост для конференций (открытый на основании передачи сигналов вызовов)

ICMP

ICMP

Терминальное устройство

Приложения UC

н/д

н/д

Проверка связи

ICMP

ICMP

Приложения UC

Терминальное устройство

н/д

н/д

Проверка связи

* Для некоторых особых случаев может применяться более широкий диапазон.

Выделенный экземпляр: порты для OTT

Ниже приводится список портов, которые клиенты и партнеры могут использовать для настройки доступа с мобильных устройств и удаленного доступа (MRA).

Таблица 3. Список портов для OTT

Протокол

TCP/UCP

Источник

Адресат

Исходный порт

Порт назначения

Цель

БЕЗОПАСНЫЙ SIP

TCP

Терминальное устройство

Expressway-E

Больше чем 1023

5061

Безопасные сигналы SIP для регистрации и вызовов MRA

БЕЗОПАСНЫЙ SIP

TCP

Терминальное устройство / сервер

Expressway-E

Больше чем 1023

5062

Безопасный SIP для вызовов B2B

БЕЗОПАСНЫЙ RTP/RTCP

UDP

Терминальное устройство / сервер

Expressway-E

Больше чем 1023

36000&'96;59999

Безопасные мультимедиа для вызовов MRA и B2B

HTTPS (БЕЗОПАСНЫЙ)

TLS

Клиент

Expressway-E

Больше чем 1023

8443

CUCM UDS и CUCxn REST для вызовов MRA

XMLS

TLS

Клиент

Expressway-E

Больше чем 1023

5222

Мгновенные сообщения и состояние доступности

ПОВОРОТ

UDP

Клиент ICE

Expressway-E

Больше чем 1023

3478

Согласование ICE/STUN/TURN

БЕЗОПАСНЫЙ RTP/RTCP

UPD

Клиент ICE

Expressway-E

Больше чем 1023

24000–29999

Мультимедиа TURN для отката ICE

Выделенный экземпляр: порты для UCCX

Ниже приводится список портов, которые клиенты и партнеры могут использовать для настройки UCCX.

Таблица 4. Порты для Cisco UCCX

Протокол

TCP/UCP

Источник

Адресат

Исходный порт

Порт назначения

Цель

SSH

TCP

Клиент

UCCX

Больше чем 1023

22

SFTP и SSH

Informix

TCP

Клиент или сервер

UCCX

Больше чем 1023

1504

Порт базы данных Unified CCX

SIP

UDP и TCP

SIP-шлюз или сервер MCRP

UCCX

Больше чем 1023

5065

Связь с удаленным шлюзом и узлами MCRP

XMPP

TCP

Клиент

UCCX

Больше чем 1023

5223

Безопасное соединение XMPP между сервером Finesse и настраиваемыми сторонними приложениями

CVD

TCP

Клиент

UCCX

Больше чем 1023

6999

Передача данных от редактора к приложениям CCX

HTTPS

TCP

Клиент

UCCX

Больше чем 1023

7443

Безопасное соединение BOSH между сервером Finesse и рабочими столами операторов и диспетчеров для передачи данных по HTTPS

HTTP

TCP

Клиент

UCCX

Больше чем 1023

8080

Подключение клиентов, которые создают отчеты данных, передаваемых в режиме реального времени, к серверу Socket.IO

HTTP

TCP

Клиент

UCCX

Больше чем 1023

8081

Браузер клиента предпринимает попытку получить доступ к веб-интерфейсу центра аналитики унифицированной (службы) Cisco

HTTP

TCP

Клиент

UCCX

Больше чем 1023

8443

Графический пользовательский интерфейс администратора, RTMT, доступ к базе данных через SOAP

HTTPS

TCP

Клиент

UCCX

Больше чем 1023

8444

Веб-интерфейс центра аналитики унифицированной (службы) Cisco

HTTPS

TCP

Браузер и клиенты REST

UCCX

Больше чем 1023

8445

Безопасный порт для Finesse

HTTPS

TCP

Клиент

UCCX

Больше чем 1023

8447

HTTPS – онлайн-справка центра аналитики унифицированной (службы)

HTTPS

TCP

Клиент

UCCX

Больше чем 1023

8553

Компоненты системы единого входа (SSO) осуществляют доступ к этому интерфейсу для получения информации о состоянии работы идентификаторов Cisco.

HTTP

TCP

Клиент

UCCX

Больше чем 1023

9080

Клиенты предпринимают попытку получить доступ к триггерам HTTP, документам, запросам, грамматикам и данным, передаваемым в режиме реального времени.

HTTPS

TCP

Клиент

UCCX

Больше чем 1023

9443

Безопасный порт, используемый для реагирования на запросы клиентов на доступ к триггерам HTTPS

TCP

TCP

Клиент

UCCX

Больше чем 1023

12014

Это порт, с помощью которого клиенты, которые создают отчеты данных, передаваемых в режиме реального времени, могут подключаться к серверу Socket.IO

TCP

TCP

Клиент

UCCX

Больше чем 1023

12015

Это порт, с помощью которого клиенты, которые создают отчеты данных, передаваемых в режиме реального времени, могут подключаться к серверу Socket.IO

CTI

TCP

Клиент

UCCX

Больше чем 1023

12028

Передача данных от стороннего клиента CTI к CCX

RTP (мультимедиа)

TCP

Терминальное устройство

UCCX

Больше чем 1023

Больше чем 1023

При необходимости порт мультимедиа открывается динамически.

RTP (мультимедиа)

TCP

Клиент

Терминальное устройство

Больше чем 1023

Больше чем 1023

При необходимости порт мультимедиа открывается динамически.

Безопасность клиента

Защита Jabber и Webex с помощью SIP OAuth

Аутентификация клиентов Jabber и Webex выполняется с помощью маркера OAuth, а не локально значимого сертификата (LSC), в связи с чем включать функцию прокси центра сертификации (CAPF) (и для MRA в том числе) не требуется. SIP OAuth, работающий со смешанным режимом или без него, был представлен в унифицированной (службе) Cisco CM 12.5(1), Jabber 12.5 и Expressway X12.5.

В унифицированной (службе) Cisco CM 12.5 в профиле безопасности телефона есть новый параметр, позволяющий выполнять шифрование без LSC/CAPF с помощью единого протокола защиты транспортного уровня (TLS) и маркера OAuth в SIP REGISTER. Узлы Expressway-C используют API XML-веб-службы управления (AXL) для информирования унифицированной (службы) Cisco CM о SN/SAN в своем сертификате. Унифицированная (служба) Cisco CM использует эту информацию для проверки сертификата Exp-C при установлении соединения mutual TLS.

SIP OAuth включает шифрование мультимедиа и передачи сигналов без сертификата терминального устройства (LSC).

Для скачивания файлов конфигурации Cisco Jabber использует временные порты и безопасные порты 6971 и 6972 при соединении по HTTPS с сервером TFTP. Порт 6970 является небезопасным портом для скачивания по HTTP.

Дополнительные сведения о конфигурации SIP OAuth: режим SIP OAuth.

Требования к DNS

Что касается выделенного экземпляра, Cisco предоставляет FQDN для службы в каждом регионе в следующем формате: <customer>.<region>.wxc-di.webex.com, например xyz.amer.wxc-di.webex.com.

Значение "клиент" администратор предоставляет в рамках мастера первоначальной настройки (FTSW). Дополнительную информацию см. в статье Активация службы выделенных экземпляров.

Записи DNS для этого FQDN должны быть разрешены с внутреннего DNS-сервера клиента, чтобы они поддерживали локальные устройства, подключаемые к выделенному экземпляру. Чтобы упростить разрешение этой задачи, клиенту необходимо настроить сервер условной пересылки для этого FQDN на своем DNS-сервере, указывающем на службу DNS выделенного экземпляра. Служба DNS выделенного экземпляра является региональной, и к ней можно получить доступ посредством пирингового соединения с выделенным экземпляром с использованием IP-адресов, указанных в приведенной ниже таблице IP-адрес службы DNS выделенного экземпляра.

Таблица 5. IP-адрес службы DNS выделенного экземпляра

Регион или контроллер домена

IP-адрес службы DNS выделенного экземпляра

Пример условной пересылки

Северная и Южная Америка

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

Азиатско-Тихоокеанский регион, Япония и Китай

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SIN

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


В целях безопасности параметр ping отключен для вышеуказанных IP-адресов DNS-серверов.

Пока не будет включена функция условной пересылки, устройства не смогут регистрироваться в выделенном экземпляре из внутренней сети клиентов с помощью пиринговых ссылок. Условная пересылка не требуется для регистрации с помощью доступа с мобильных устройств и удаленного доступа (MRA), поскольку все необходимые внешние записи DNS для упрощения MRA компания Cisco подготовит предварительно.

При использовании приложения Webex в качестве программного клиента службы вызовов на выделенном экземпляре для домена голосовых служб (VSD) в каждом регионе необходимо настроить профиль UC Manager в Control Hub. Дополнительную информацию см. в статье Профили UC Manager в Cisco Webex Control Hub. Приложение Webex сможет автоматически разрешать клиентскую сеть Expressway Edge без вмешательства конечного пользователя.


Домен голосовых служб будет предоставлен клиенту согласно документу о доступе партнера после завершения активации службы.