Требования к сети для выделенного экземпляра

Выделенный экземпляр Webex Calling входит в портфель решений службы Cisco Cloud Calling и работает на базе технологии для совместной работы Cisco Unified Communications Manager (Cisco Unified CM). Выделенный экземпляр предлагает решения для передачи голоса, видео, обмена сообщениями и обеспечения мобильности, а также функции и преимущества IP-телефонов, мобильных устройств и настольных клиентов Cisco, которые безопасно подключаются к выделенному экземпляру.

Эта статья предназначена для администраторов сети, в частности для администраторов брандмауэра и безопасности прокси, которые хотят использовать выделенный экземпляр в своей организации. В этом документе в первую очередь уделяется внимание требованиям к сети и безопасности для решения выделенного экземпляра, в том числе многоуровневому подходу к функциям и функциональным возможностям, которые обеспечивают безопасный физический доступ, защищенные терминальные устройства, приложения и сеть Cisco UC.

Требования к сертификатам для безопасных соединений в выделенном экземпляре

Что касается выделенного экземпляра Webex Calling, Cisco предоставит домен и подпишет все сертификаты для приложений UC, используя общедоступный центр сертификации.

Выделенный экземпляр: номера портов и протоколы

В таблицах ниже описаны порты и протоколы, поддерживаемые в выделенном экземпляре. Порты, используемые для отдельного клиента, зависят от развертывания и решения клиента. Протоколы зависят от предпочтений клиента (SCCP или SIP), существующих локальных устройств и от уровня безопасности, который позволяет определить, какие порты необходимо использовать для того или иного развертывания.

Выделенный экземпляр: порты клиента

Доступные для клиентов порты, расположенные между помещением клиента и выделенным экземпляром, показаны в таблице 1 Порты клиента выделенного экземпляра. Все перечисленные ниже порты предназначены для передачи трафика клиента через пиринговые ссылки.


Порт SNMP поддерживается только для функциональных возможностей CER, а не для любых других сторонних инструментов мониторинга.

Таблица 1. Порты клиента выделенного экземпляра

Протокол

TCP/UCP

Источник

Адресат

Исходный порт

Порт назначения

Цель

SSH

TCP

Клиент

Приложения UC

Больше чем 1023

22

Администрирование

LDAP;

TCP

Приложения UC

Внешний каталог

Больше чем 1023

389

Синхронизация каталогов с LDAP клиента

HTTPS

TCP

Браузер

Приложения UC

Больше чем 1023

443

Веб-доступ для интерфейсов самостоятельного обслуживания и администрирования

LDAP (БЕЗОПАСНЫЙ)

TCP

Приложения UC

Внешний каталог

Больше чем 1023

636

Синхронизация каталогов с LDAP клиента

SCCP

TCP

Терминальное устройство

Unified CM, CUCxn

Больше чем 1023

2000

Передача сигналов вызовов

SCCP

TCP

Unified CM

Unified CM, шлюз

Больше чем 1023

2000

Передача сигналов вызовов

SCCP (БЕЗОПАСНЫЙ)

TCP

Терминальное устройство

Unified CM, CUCxn

Больше чем 1023

2443

Передача сигналов вызовов

SCCP (БЕЗОПАСНЫЙ)

TCP

Unified CM

Unified CM, шлюз

Больше чем 1023

2443

Передача сигналов вызовов

Проверка доверия

TCP

Терминальное устройство

Unified CM

Больше чем 1023

2445

Предоставление терминальным устройствам службы проверки доверия

CTI

TCP

Терминальное устройство

Unified CM

Больше чем 1023

2748

Соединение между приложениями CTI (JTAPI/TSP) и службой CTIManager

Безопасная CTI

TCP

Терминальное устройство

Unified CM

Больше чем 1023

2749

Безопасное соединение между приложениями CTI (JTAPI/TSP) и службой CTIManager

Глобальный каталог LDAP

TCP

Приложения UC

Внешний каталог

Больше чем 1023

3268

Синхронизация каталогов с LDAP клиента

Глобальный каталог LDAP

TCP

Приложения UC

Внешний каталог

Больше чем 1023

3269

Синхронизация каталогов с LDAP клиента

Служба CAPF

TCP

Терминальное устройство

Unified CM

Больше чем 1023

3804

Порт прослушивания функции прокси центра сертификации (CAPF) для выпуска локально значимых сертификатов (LSC) для IP-телефонов

SIP

TCP

Терминальное устройство

Unified CM, CUCxn

Больше чем 1023

5060

Передача сигналов вызовов

SIP

TCP

Unified CM

Unified CM, шлюз

Больше чем 1023

5060

Передача сигналов вызовов

SIP (БЕЗОПАСНЫЙ)

TCP

Терминальное устройство

Unified CM

Больше чем 1023

5061

Передача сигналов вызовов

SIP (БЕЗОПАСНЫЙ)

TCP

Unified CM

Unified CM, шлюз

Больше чем 1023

5061

Передача сигналов вызовов

SIP (OAUTH)

TCP

Терминальное устройство

Unified CM

Больше чем 1023

5090

Передача сигналов вызовов

XMPP

TCP

Клиент Jabber

Cisco IM&P

Больше чем 1023

5222

Служба обмена сообщениями и отображения статуса присутствия

HTTP

TCP

Терминальное устройство

Unified CM

Больше чем 1023

6970

Скачивание конфигурации и изображений в терминальные устройства

HTTPS

TCP

Терминальное устройство

Unified CM

Больше чем 1023

6971

Скачивание конфигурации и изображений в терминальные устройства

HTTPS

TCP

Терминальное устройство

Unified CM

Больше чем 1023

6972

Скачивание конфигурации и изображений в терминальные устройства

HTTP

TCP

Клиент Jabber

CUCxn

Больше чем 1023

7080

Уведомления голосовой почты

HTTPS

TCP

Клиент Jabber

CUCxn

Больше чем 1023

7443

Безопасные уведомления голосовой почты

HTTPS

TCP

Unified CM

Unified CM

Больше чем 1023

7501

Используется службой межкластерного поиска (ILS) для аутентификации на основе сертификатов

HTTPS

TCP

Unified CM

Unified CM

Больше чем 1023

7502

Используется ILS для аутентификации на основе пароля

IMAP

TCP

Клиент Jabber

CUCxn

Больше чем 1023

7993

IMAP по TLS

HTTPS

TCP

Браузер, терминальное устройство

Приложения UC

Больше чем 1023

8443

Веб-доступ для интерфейсов самостоятельного обслуживания и администрирования, UDS

HTTPS

TCP

Локальное устройство

Unified CM

Больше чем 1023

9443

Поиск аутентифицированных контактов

Безопасный RTP/SRTP

UDP

Unified CM

Телефон

16384–32767 *

16384–32767 *

Мультимедиа (аудио) – мелодия режима удержания, устройство оповещения, программный мост для конференций (открытый на основании передачи сигналов вызовов)

Безопасный RTP/SRTP

UDP

Телефон

Unified CM

16384–32767 *

16384–32767 *

Мультимедиа (аудио) – мелодия режима удержания, устройство оповещения, программный мост для конференций (открытый на основании передачи сигналов вызовов)

ICMP

ICMP

Терминальное устройство

Приложения UC

н/д

н/д

Проверка связи

ICMP

ICMP

Приложения UC

Терминальное устройство

н/д

н/д

Проверка связи

* Для некоторых особых случаев может применяться более широкий диапазон.

Выделенный экземпляр: порты для OTT

Ниже приводится список портов, которые клиенты и партнеры могут использовать для настройки доступа с мобильных устройств и удаленного доступа (MRA).

Таблица 2. Список портов для OTT

Протокол

TCP/UCP

Источник

Адресат

Исходный порт

Порт назначения

Цель

БЕЗОПАСНЫЙ SIP

TCP

Терминальное устройство

Expressway-E

Больше чем 1023

5061

Безопасные сигналы SIP для регистрации и вызовов MRA

БЕЗОПАСНЫЙ SIP

TCP

Терминальное устройство / сервер

Expressway-E

Больше чем 1023

5062

Безопасный SIP для вызовов B2B

БЕЗОПАСНЫЙ RTP/RTCP

UDP

Терминальное устройство / сервер

Expressway-E

Больше чем 1023

36000&'96;59999

Безопасные мультимедиа для вызовов MRA и B2B

HTTPS (БЕЗОПАСНЫЙ)

TLS

Клиент

Expressway-E

Больше чем 1023

8443

CUCM UDS и CUCxn REST для вызовов MRA

XMLS

TLS

Клиент

Expressway-E

Больше чем 1023

5222

Мгновенные сообщения и состояние доступности

ПОВОРОТ

UDP

Клиент ICE

Expressway-E

Больше чем 1023

3478

Согласование ICE/STUN/TURN

БЕЗОПАСНЫЙ RTP/RTCP

UPD

Клиент ICE

Expressway-E

Больше чем 1023

24000–29999

Мультимедиа TURN для отката ICE

Выделенный экземпляр: порты для UCCX

Ниже приводится список портов, которые клиенты и партнеры могут использовать для настройки UCCX.

Таблица 3. Порты для Cisco UCCX

Протокол

TCP/UCP

Источник

Адресат

Исходный порт

Порт назначения

Цель

SSH

TCP

Клиент

UCCX

Больше чем 1023

22

SFTP и SSH

Informix

TCP

Клиент или сервер

UCCX

Больше чем 1023

1504

Порт базы данных Unified CCX

SIP

UDP и TCP

SIP-шлюз или сервер MCRP

UCCX

Больше чем 1023

5065

Связь с удаленным шлюзом и узлами MCRP

XMPP

TCP

Клиент

UCCX

Больше чем 1023

5223

Безопасное соединение XMPP между сервером Finesse и настраиваемыми сторонними приложениями

CVD

TCP

Клиент

UCCX

Больше чем 1023

6999

Передача данных от редактора к приложениям CCX

HTTPS

TCP

Клиент

UCCX

Больше чем 1023

7443

Безопасное соединение BOSH между сервером Finesse и рабочими столами операторов и диспетчеров для передачи данных по HTTPS

HTTP

TCP

Клиент

UCCX

Больше чем 1023

8080

Подключение клиентов, которые создают отчеты данных, передаваемых в режиме реального времени, к серверу Socket.IO

HTTP

TCP

Клиент

UCCX

Больше чем 1023

8081

Браузер клиента предпринимает попытку получить доступ к веб-интерфейсу центра аналитики унифицированной (службы) Cisco

HTTP

TCP

Клиент

UCCX

Больше чем 1023

8443

Графический пользовательский интерфейс администратора, RTMT, доступ к базе данных через SOAP

HTTPS

TCP

Клиент

UCCX

Больше чем 1023

8444

Веб-интерфейс центра аналитики унифицированной (службы) Cisco

HTTPS

TCP

Браузер и клиенты REST

UCCX

Больше чем 1023

8445

Безопасный порт для Finesse

HTTPS

TCP

Клиент

UCCX

Больше чем 1023

8447

HTTPS – онлайн-справка центра аналитики унифицированной (службы)

HTTPS

TCP

Клиент

UCCX

Больше чем 1023

8553

Компоненты системы единого входа (SSO) осуществляют доступ к этому интерфейсу для получения информации о состоянии работы идентификаторов Cisco.

HTTP

TCP

Клиент

UCCX

Больше чем 1023

9080

Клиенты предпринимают попытку получить доступ к триггерам HTTP, документам, запросам, грамматикам и данным, передаваемым в режиме реального времени.

HTTPS

TCP

Клиент

UCCX

Больше чем 1023

9443

Безопасный порт, используемый для реагирования на запросы клиентов на доступ к триггерам HTTPS

TCP

TCP

Клиент

UCCX

Больше чем 1023

12014

Это порт, с помощью которого клиенты, которые создают отчеты данных, передаваемых в режиме реального времени, могут подключаться к серверу Socket.IO

TCP

TCP

Клиент

UCCX

Больше чем 1023

12015

Это порт, с помощью которого клиенты, которые создают отчеты данных, передаваемых в режиме реального времени, могут подключаться к серверу Socket.IO

CTI

TCP

Клиент

UCCX

Больше чем 1023

12028

Передача данных от стороннего клиента CTI к CCX

RTP (мультимедиа)

TCP

Терминальное устройство

UCCX

Больше чем 1023

Больше чем 1023

При необходимости порт мультимедиа открывается динамически.

RTP (мультимедиа)

TCP

Клиент

Терминальное устройство

Больше чем 1023

Больше чем 1023

При необходимости порт мультимедиа открывается динамически.

Безопасность клиента

Защита Jabber и Webex с помощью SIP OAuth

Аутентификация клиентов Jabber и Webex выполняется с помощью маркера OAuth, а не локально значимого сертификата (LSC), в связи с чем включать функцию прокси центра сертификации (CAPF) (и для MRA в том числе) не требуется. SIP OAuth, работающий со смешанным режимом или без него, был представлен в унифицированной (службе) Cisco CM 12.5(1), Jabber 12.5 и Expressway X12.5.

В унифицированной (службе) Cisco CM 12.5 в профиле безопасности телефона есть новый параметр, позволяющий выполнять шифрование без LSC/CAPF с помощью единого протокола защиты транспортного уровня (TLS) и маркера OAuth в SIP REGISTER. Узлы Expressway-C используют API XML-веб-службы управления (AXL) для информирования унифицированной (службы) Cisco CM о SN/SAN в своем сертификате. Унифицированная (служба) Cisco CM использует эту информацию для проверки сертификата Exp-C при установлении соединения mutual TLS.

SIP OAuth включает шифрование мультимедиа и передачи сигналов без сертификата терминального устройства (LSC).

Для скачивания файлов конфигурации Cisco Jabber использует временные порты и безопасные порты 6971 и 6972 при соединении по HTTPS с сервером TFTP. Порт 6970 является небезопасным портом для скачивания по HTTP.

Дополнительные сведения о конфигурации SIP OAuth: режим SIP OAuth.

Требования к DNS

Что касается выделенного экземпляра, Cisco предоставляет FQDN для службы в каждом регионе в следующем формате: <customer>.<region>.wxc-di.webex.com, например xyz.amer.wxc-di.webex.com.

Значение "клиент" администратор предоставляет в рамках мастера первоначальной настройки (FTSW). Дополнительную информацию см. в статье Активация службы выделенных экземпляров.

Записи DNS для этого FQDN должны быть разрешены с внутреннего DNS-сервера клиента, чтобы они поддерживали локальные устройства, подключаемые к выделенному экземпляру. Чтобы упростить разрешение этой задачи, клиенту необходимо настроить сервер условной пересылки для этого FQDN на своем DNS-сервере, указывающем на службу DNS выделенного экземпляра. Служба DNS выделенного экземпляра является региональной, и к ней можно получить доступ посредством пирингового соединения с выделенным экземпляром с использованием IP-адресов, указанных в приведенной ниже таблице IP-адрес службы DNS выделенного экземпляра.

Таблица 4. IP-адрес службы DNS выделенного экземпляра

Регион или контроллер домена

IP-адрес службы DNS выделенного экземпляра

Пример условной пересылки

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SIN

103.232.71.288

Пока не будет включена функция условной пересылки, устройства не смогут регистрироваться в выделенном экземпляре из внутренней сети клиентов с помощью пиринговых ссылок. Условная пересылка не требуется для регистрации с помощью доступа с мобильных устройств и удаленного доступа (MRA), поскольку все необходимые внешние записи DNS для упрощения MRA компания Cisco подготовит предварительно.

При использовании приложения Webex в качестве программного клиента службы вызовов на выделенном экземпляре для домена голосовых служб (VSD) в каждом регионе необходимо настроить профиль UC Manager в Control Hub. Дополнительную информацию см. в статье Профили UC Manager в Cisco Webex Control Hub. Приложение Webex сможет автоматически разрешать клиентскую сеть Expressway Edge без вмешательства конечного пользователя.


Домен голосовых служб будет предоставлен клиенту согласно документу о доступе партнера после завершения активации службы.

Ссылки