- Главная
- /
- Статья
Требования к сети и безопасности для решения выделенного экземпляра – это многоуровневый подход к функциям и функциям, обеспечивающим безопасный физический доступ, сеть, терминальные устройства и приложения Cisco UC. В нем описаны требования к сети и перечислены адреса, порты и протоколы, используемые для подключения конечных точек к службам.
Требования к сети для выделенного экземпляра
Выделенный экземпляр Webex Calling является частью портфолио Cisco Cloud Calling на базе технологии совместной работы Cisco Unified Communications Manager (Cisco Unified CM). Выделенный экземпляр предлагает решения для голосовой связи, видео, обмена сообщениями и мобильности с функциями и преимуществами телефонов Cisco IP, мобильных устройств и настольных клиентов, которые безопасно подключаются к выделенному экземпляру.
Эта статья предназначена для администраторов сети, в частности для администраторов брандмауэра и безопасности прокси, которые хотят использовать выделенный экземпляр в своей организации.
Обзор безопасности: Безопасность в слоях
Выделенный экземпляр использует многоуровневый подход для обеспечения безопасности. Слои включают:
-
Физический доступ
-
Сеть
-
Конечные точки
-
приложения UC
В следующих разделах описаны уровни безопасности в развертываниях выделенного экземпляра.
Физическая безопасность
Важно обеспечить физическую безопасность местоположений комнат Equinix Meet-Me и объектов центра обработки данных выделенного экземпляра Cisco. Когда нарушена физическая безопасность, могут быть инициированы простые атаки, такие как нарушение работы служб при отключении питания на коммутаторы клиента. При физическом доступе злоумышленники могли получить доступ к серверным устройствам, сбросить пароли и получить доступ к коммутаторам. Физический доступ также облегчает более сложные атаки, такие как атаки "человек в центре", поэтому второй уровень безопасности, сетевая безопасность, имеет решающее значение.
Диски самошифрования используются в центрах обработки данных выделенного экземпляра, в которых размещены приложения UC.
Дополнительную информацию об общих методах обеспечения безопасности см. в документации по следующему адресу: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Безопасность сети
Партнеры должны убедиться, что все сетевые элементы защищены в инфраструктуре выделенного экземпляра (которая подключается через Equinix). Ответственность за обеспечение безопасности лежит на партнере, например:
-
Отдельная VLAN для передачи голоса и данных
-
Включить защиту портов, которая ограничивает количество MAC-адресов, разрешенных на один порт, в случае затопления таблицы CAM
-
Защита источника IP от ложных IP-адресов
-
Dynamic ARP Inspection (DAI) проверяет протокол разрешения адресов (ARP) и безвозмездный ARP (GARP) на предмет нарушений (против подделки ARP)
-
применение стандарта 802.1x, который ограничивает доступ к сети для аутентификации устройств в назначенных сетях VLAN (телефоны поддерживают стандарт 802.1x);
-
Настройка качества обслуживания (QoS) для соответствующей маркировки голосовых пакетов
-
Конфигурации портов брандмауэра для блокировки любого другого трафика
Безопасность оконечных устройств
Конечные точки Cisco поддерживают функции безопасности по умолчанию, такие как подписанное микропрограммное обеспечение, безопасная загрузка (выбранные модели), установленный производителем сертификат (MIC) и подписанные файлы конфигурации, которые обеспечивают определенный уровень безопасности для конечных точек.
Кроме того, партнер или клиент может включить дополнительную безопасность, например:
-
Шифрование служб IP-телефонии (через HTTPS) для таких служб, как Extension Mobility
-
Выпуск локально значимых сертификатов (LSC) с помощью функции прокси центра сертификации (CAPF) или публичного центра сертификации (CA)
-
Шифрование файлов конфигурации
-
Шифрование мультимедиа и сигналов
-
Отключите эти настройки, если они не используются. Порт ПК, доступ к голосовой VLAN ПК, безвозмездный ARP, веб-доступ, кнопка настроек, SSH, консоль
Реализация механизмов безопасности в выделенном экземпляре предотвращает кражу удостоверений телефонов и сервера Unified CM, фальсификацию данных, а также подтасовку сигналов вызовов и медиапотоков.
Выделенный экземпляр в сети:
-
Устанавливает и поддерживает аутентифицированные каналы связи
-
Цифровые подписи файлов перед их передачей на телефон
-
Шифрование потоков мультимедиа и сигналов вызовов между телефонами Cisco Unified IP
Безопасность по умолчанию обеспечивает следующие функции автоматической безопасности для телефонов Cisco Unified IP.
-
Подписание файлов конфигурации телефона
-
Поддержка шифрования файлов конфигурации телефона
-
HTTPS с Tomcat и другими веб-службами (MIDlets)
Для Unified CM версии 8.0 более поздней эти функции безопасности предоставляются по умолчанию без запуска клиента списка доверенных сертификатов (CTL).
Служба проверки доверияПоскольку в сети имеется большое количество телефонов, а IP-телефоны имеют ограниченную память, Cisco Unified CM выступает в качестве удаленного доверенного хранилища через службу проверки доверия (TVS), чтобы на каждом телефоне не было необходимости размещать доверенное хранилище сертификатов. Телефоны Cisco IP обращаются к серверу TVS для проверки, поскольку они не могут проверить подпись или сертификат с помощью файлов CTL или ITL. Управлять центральным доверенным хранилищем проще, чем иметь доверенное хранилище на каждом телефоне Cisco Unified IP.
TVS позволяет телефонам Cisco Unified IP аутентифицировать серверы приложений, такие как службы EM, каталог и MIDlet, во время установки HTTPS.
Первоначальный список доверияФайл первоначального списка доверия (ITL) используется для начальной безопасности, чтобы конечные точки могли доверять Cisco Unified CM. ITL не нуждается в явной включении каких-либо функций безопасности. Файл ITL создается автоматически при установке кластера. Закрытый ключ сервера Unified CM Trivial File Transfer Protocol (TFTP) используется для подписи файла ITL.
Если кластер или сервер Cisco Unified CM находится в небезопасном режиме, файл ITL скачивается на каждый поддерживаемый телефон Cisco IP. Партнер может просматривать содержимое файла ITL с помощью команды CLI, admin:show itl.
Телефонам Cisco IP необходим файл ITL для выполнения следующих задач.
-
Безопасное взаимодействие с CAPF, необходимое условие для поддержки шифрования файла конфигурации
-
Аутентификация подписи файла конфигурации
-
Аутентификация серверов приложений, таких как службы EM, каталог и MIDlet во время установки HTTPS с помощью TVS
Аутентификация устройства, файла и сигналов зависит от создания файла списка доверенных сертификатов (CTL), который создается при установке и настройке партнером или клиентом списка доверенных сертификатов Cisco.
Файл CTL содержит записи для следующих серверов или маркеров безопасности:
-
маркер безопасности системного администратора (SAST)
-
Службы Cisco CallManager и Cisco TFTP, запущенные на одном сервере
-
Функция прокси центра сертификации (CAPF)
-
Серверы TFTP
-
брандмауэр ASA
Файл CTL содержит сертификат сервера, открытый ключ, серийный номер, подпись, имя эмитента, имя субъекта, функцию сервера, имя DNS и IP-адрес для каждого сервера.
Безопасность телефона с помощью CTL обеспечивает следующие функции:
-
Аутентификация скачанных файлов TFTP (конфигурация, региональные параметры, список вызовов и т. д.) с помощью ключа подписи
-
Шифрование файлов конфигурации TFTP с помощью ключа подписи
-
Зашифрованная передача сигналов вызовов для IP-телефонов
-
Зашифрованное аудио вызова (мультимедиа) для IP-телефонов
Выделенный экземпляр обеспечивает регистрацию терминального устройства и обработку вызовов. Передача сигналов между Cisco Unified CM и конечными точками осуществляется на основе протокола Secure Skinny Client Control Protocol (SCCP) или протокола установления сеанса (SIP) и может быть зашифрована с помощью Transport Layer Security (TLS). Передача данных от/к конечным точкам осуществляется по протоколу RTP (Real-time Transport Protocol, RTP), а также может быть зашифрована с помощью безопасного RTP (SRTP).
Включение смешанного режима в Unified CM обеспечивает шифрование сигнального и мультимедийного трафика от конечных точек Cisco и на них.
Безопасные приложения UC
Включение смешанного режима в выделенном экземпляреСмешанный режим включен по умолчанию в выделенном экземпляре.
Включение смешанного режима в выделенном экземпляре позволяет выполнять шифрование сигнального и мультимедийного трафика от конечных точек Cisco и на них.
В выпуске 12.5(1) Cisco Unified CM для клиентов Jabber и Webex был добавлен новый параметр для включения шифрования сигналов и мультимедиа на основе SIP OAuth вместо смешанного режима/CTL. Таким образом, в выпуске Unified CM 12.5(1) SIP OAuth и SRTP могут использоваться для включения шифрования сигналов и мультимедиа для клиентов Jabber или Webex. В настоящее время для телефонов Cisco IP и других конечных точек Cisco по-прежнему требуется включение смешанного режима. В будущем выпуске планируется добавить поддержку SIP OAuth в конечных точках 7800/8800.
Безопасность обмена голосовыми сообщениямиCisco Unity Connection подключается к Unified CM через порт TLS. Если режим безопасности устройства небезопасный, Cisco Unity Connection подключается к Unified CM через порт SCCP.
Чтобы настроить безопасность для портов голосовых сообщений Unified CM и устройств Cisco Unity, на которых запущен SCCP или устройства Cisco Unity Connection, на которых запущен SCCP, партнер может выбрать для порта режим безопасности защищенного устройства. При выборе аутентифицированного порта голосовой почты открывается соединение TLS, которое аутентифицирует устройства с помощью обмена взаимными сертификатами (каждое устройство принимает сертификат другого устройства). При выборе зашифрованного порта голосовой почты система сначала аутентифицирует устройства, а затем отправляет зашифрованные голосовые потоки между устройствами.
Дополнительную информацию о портах для обмена голосовыми сообщениями см. в статье https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Безопасность для SRST, магистралей, шлюзов, CUBE/SBC
Шлюз с поддержкой Cisco Unified Survivable Remote Site Telephony (SRST) предоставляет ограниченные задачи обработки вызовов, если Cisco Unified CM на выделенном экземпляре не может выполнить вызов.
Защищенные шлюзы с поддержкой SRST содержат самоподписанный сертификат. После того как партнер выполняет задачи конфигурации SRST в службе администрирования Unified CM, Unified CM использует соединение TLS для аутентификации со службой поставщика сертификатов в шлюзе с поддержкой SRST. Затем Unified CM извлекает сертификат из шлюза с поддержкой SRST и добавляет сертификат в базу данных Unified CM.
После сброса партнером зависимых устройств в службе администрирования Unified CM сервер TFTP добавляет сертификат шлюза с поддержкой SRST в файл cnf.xml телефона и отправляет файл на телефон. Затем защищенный телефон использует соединение TLS для взаимодействия со шлюзом с поддержкой SRST.
Рекомендуется иметь защищенные магистрали для вызова, исходящего от Cisco Unified CM на шлюз, для исходящих вызовов PSTN или прохождения через Cisco Unified Border Element (CUBE).
Магистрали SIP могут поддерживать защищенные вызовы как для передачи сигналов, так и для передачи мультимедиа; TLS обеспечивает шифрование сигналов, а SRTP обеспечивает шифрование мультимедиа.
Защита связи между Cisco Unified CM и CUBE
Для безопасной связи между Cisco Unified CM и CUBE партнеры/клиенты должны использовать либо самоподписанный сертификат, либо сертификаты, подписанные ЦС.
Для самоподписанных сертификатов:
-
CUBE и Cisco Unified CM создают самоподписанные сертификаты
-
CUBE экспортирует сертификат в Cisco Unified CM
-
Cisco Unified CM экспортирует сертификат в CUBE
Для сертификатов, подписанных ЦС:
-
Клиент создает пару ключей и отправляет запрос на подпись сертификата (CSR) в центр сертификации (CA)
-
ЦС подписывает его с помощью закрытого ключа, создавая сертификат удостоверения
-
Клиент устанавливает список доверенных корневых сертификатов ЦС и промежуточных сертификатов, а также сертификат удостоверения
Безопасность удаленных оконечных устройств
С помощью конечных точек мобильного и удаленного доступа (MRA) передача сигналов и мультимедиа всегда шифруются между конечными точками MRA и узлами Expressway. Если для конечных точек MRA используется протокол ICE, требуется шифрование сигналов и мультимедиа конечных точек MRA. Однако для шифрования сигналов и мультимедиа между Expressway-C и внутренними серверами Unified CM, внутренними терминальными устройствами или другими внутренними устройствами требуется смешанный режим или SIP OAuth.
Cisco Expressway обеспечивает безопасное обход брандмауэра и поддержку линии для регистрации Unified CM. Unified CM обеспечивает управление вызовами как для мобильных, так и для локальных терминальных устройств. Передача сигналов проходит через решение Expressway между удаленным терминальным устройством и Unified CM. Мультимедиа обходит решение Expressway и ретранслируется между конечными точками напрямую. Все мультимедиа шифруются между Expressway-C и мобильным терминальным устройством.
Для любого решения MRA требуются Expressway и Unified CM с совместимыми с MRA программными клиентами и/или стационарными терминальными устройствами. Решение может дополнительно включать службу обмена мгновенными сообщениями и состояния доступности и Unity Connection.
Сводная информация протокола
В следующей таблице показаны протоколы и связанные службы, используемые в решении Unified CM.
Protocol |
Безопасность |
Служба |
---|---|---|
SIP |
TLS |
Создание сеанса: Зарегистрироваться, пригласить и т.д. |
HTTPS |
TLS |
Вход, подготовка/настройка, каталог, визуальная голосовая почта |
Тип |
SRTP |
СМИ: Аудио, видео, совместный доступ к контенту |
XMPP |
TLS |
Обмен мгновенными сообщениями, состояние доступности, федерация |
Дополнительную информацию о конфигурации MRA см. в статье: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Параметры конфигурации
Выделенный экземпляр обеспечивает партнеру гибкость в настройке служб для конечных пользователей посредством полного управления конфигурациями второго дня. В результате партнер несет единоличную ответственность за надлежащую настройку службы выделенного экземпляра для среды конечного пользователя. Это включает, помимо прочего, следующее:
-
Выбор безопасных/небезопасных вызовов, безопасных/небезопасных протоколов, таких как SIP/sSIP, http/https и т.д. и понимание любых связанных с ними рисков.
-
Для всех MAC-адресов, не настроенных в качестве защищенного SIP в выделенном экземпляре, злоумышленник может отправить сообщение о регистрации SIP с помощью этого MAC-адреса и иметь возможность совершать вызовы SIP, что приведет к мошенничеству с оплатой. Обязательным условием является то, что злоумышленник может зарегистрировать свое SIP-устройство или программное обеспечение в выделенном экземпляре без авторизации, если он знает MAC-адрес устройства, зарегистрированного в выделенном экземпляре.
-
Политики вызовов, правила преобразования и поиска Expressway-E должны быть настроены для предотвращения мошенничества с оплатой. Дополнительную информацию о предотвращении мошенничества с использованием Expressway см. в разделе Безопасность для Expressway C и Expressway-E раздела Collaboration SRND.
-
Конфигурация номерного плана для обеспечения того, чтобы пользователи могли набирать только те пункты назначения, которые разрешены, например, запретить набор национальных или международных номеров, правильно маршрутизируются экстренные вызовы и т. д. Дополнительную информацию о применении ограничений с помощью номерного плана см. в разделе План набора SRND для совместной работы.
Требования к сертификатам для безопасных соединений в выделенном экземпляре
Для выделенного экземпляра компания Cisco предоставит домен и подпишет все сертификаты для приложений UC с помощью общедоступного центра сертификации (CA).
Выделенный экземпляр – номера портов и протоколы
В приведенных ниже таблицах описаны порты и протоколы, поддерживаемые в выделенном экземпляре. Порты, используемые для определенного клиента, зависят от развертывания и решения клиента. Протоколы зависят от предпочтений клиента (SCCP vs SIP), существующих локальных устройств и уровня безопасности для определения портов, которые будут использоваться в каждом развертывании.
Выделенный экземпляр не разрешает преобразование сетевых адресов (NAT) между оконечными устройствами и Unified CM, поскольку некоторые функции потока вызовов не будут работать, например функция во время вызова. |
Выделенный экземпляр – порты клиента
Доступные для клиентов порты между локальным клиентом и выделенным экземпляром показаны в таблице 1 Порты клиентов выделенного экземпляра. Все перечисленные ниже порты предназначены для обхода пользовательского трафика по пиринговым ссылкам.
Порт SNMP открыт по умолчанию только для Cisco Emergency Responder для поддержки его функциональных возможностей. Поскольку мы не поддерживаем партнеров или клиентов, отслеживающих приложения UC, развернутые в облаке выделенного экземпляра, мы не разрешаем открытие порта SNMP для других приложений UC. |
Порты в диапазоне от 5063 до 5080 зарезервированы Cisco для других интеграций облака. Администраторам партнеров или клиентов рекомендуется не использовать эти порты в своих конфигурациях. |
Protocol |
TCP/UDP |
Источник |
Адресат |
Исходный порт |
Порт назначения |
Цель | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
Клиент |
приложения UC
|
Больше 1023 |
22 сентября |
Администрирование |
||
TFTP |
UDP |
Терминальное устройство |
Unified CM |
Больше 1023 |
69 |
Поддержка устаревших терминальных устройств |
||
LDAP |
TCP |
приложения UC |
Внешний Каталог |
Больше 1023 |
389 |
Синхронизация каталога с LDAP клиента |
||
HTTPS |
TCP |
Браузер |
приложения UC |
Больше 1023 |
443 |
Веб-доступ для интерфейсов самообслуживания и администрирования |
||
Исходящая Почта (БЕЗОПАСНАЯ) |
TCP |
Приложение UC |
CUCxn |
Больше 1023 |
587 |
Используется для составления и отправки защищенных сообщений любым назначенным получателям |
||
LDAP (БЕЗОПАСНЫЙ) |
TCP |
приложения UC |
Внешний Каталог |
Больше 1023 |
636 |
Синхронизация каталога с LDAP клиента |
||
H323 |
TCP |
Шлюз |
Unified CM |
Больше 1023 |
1720 |
Передача сигналов вызова |
||
H323 |
TCP |
Unified CM |
Unified CM |
Больше 1023 |
1720 |
Передача сигналов вызова |
||
SCCP |
TCP |
Терминальное устройство |
Unified CM, CUCxn |
Больше 1023 |
2000 |
Передача сигналов вызова |
||
SCCP |
TCP |
Unified CM |
Unified CM, шлюз |
Больше 1023 |
2000 |
Передача сигналов вызова |
||
MGCP |
UDP |
Шлюз |
Шлюз |
Больше 1023 |
2427 |
Передача сигналов вызова |
||
MGCP Backhaul |
TCP |
Шлюз |
Unified CM |
Больше 1023 |
2428 |
Передача сигналов вызова |
||
SCCP (БЕЗОПАСНЫЙ) |
TCP |
Терминальное устройство |
Unified CM, CUCxn |
Больше 1023 |
2443 |
Передача сигналов вызова |
||
SCCP (БЕЗОПАСНЫЙ) |
TCP |
Unified CM |
Unified CM, шлюз |
Больше 1023 |
2443 |
Передача сигналов вызова |
||
Проверка доверия |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
2445 |
Предоставление услуг проверки доверия конечным точкам |
||
CTI |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
2748 |
Соединение между приложениями CTI (JTAPI/TSP) и CTIManager |
||
Безопасный CTI |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
2749 |
Безопасное соединение между приложениями CTI (JTAPI/TSP) и CTIManager |
||
Глобальный каталог LDAP |
TCP |
Приложения UC |
Внешний Каталог |
Больше 1023 |
3268 |
Синхронизация каталога с LDAP клиента |
||
Глобальный каталог LDAP |
TCP |
Приложения UC |
Внешний Каталог |
Больше 1023 |
3269 |
Синхронизация каталога с LDAP клиента |
||
служба CAPF |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
3804 |
Порт прослушивания функции прокси центра сертификации (CAPF) для выдачи локально значимых сертификатов (LSC) на IP-телефоны |
||
SIP |
TCP |
Терминальное устройство |
Unified CM, CUCxn |
Больше 1023 |
5060 |
Передача сигналов вызова |
||
SIP |
TCP |
Unified CM |
Unified CM, шлюз |
Больше 1023 |
5060 |
Передача сигналов вызова |
||
SIP (БЕЗОПАСНЫЙ) |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
5061 |
Передача сигналов вызова |
||
SIP (БЕЗОПАСНЫЙ) |
TCP |
Unified CM |
Unified CM, шлюз |
Больше 1023 |
5061 |
Передача сигналов вызова |
||
SIP (OAUTH) |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
5090 |
Передача сигналов вызова |
||
XMPP |
TCP |
клиент Jabber |
Cisco IM&P |
Больше 1023 |
5222 |
Обмен мгновенными сообщениями и состояние доступности |
||
HTTP |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
6970 |
Скачивание конфигурации и изображений в конечные точки |
||
HTTPS |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
6971 |
Скачивание конфигурации и изображений в конечные точки |
||
HTTPS |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
6972 |
Скачивание конфигурации и изображений в конечные точки |
||
HTTP |
TCP |
клиент Jabber |
CUCxn |
Больше 1023 |
7080 |
Уведомления голосовой почты |
||
HTTPS |
TCP |
клиент Jabber |
CUCxn |
Больше 1023 |
7443 |
Защищенные уведомления голосовой почты |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Больше 1023 |
7501 |
Используется службой межкластерного поиска (ILS) для аутентификации на основе сертификата |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Больше 1023 |
7502 |
Используется ILS для аутентификации на основе пароля |
||
IMAP |
TCP |
клиент Jabber |
CUCxn |
Больше 1023 |
7993 |
IMAP по TLS |
||
HTTP |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
8080 |
URI каталога для поддержки устаревших терминальных устройств |
||
HTTPS |
TCP |
Браузер, терминальное устройство |
приложения UC |
Больше 1023 |
8443 |
Веб-доступ для интерфейсов самообслуживания и администрирования, UDS |
||
HTTPS |
TCP |
Телефон |
Unified CM |
Больше 1023 |
9443 |
Аутентифицированный поиск контакта |
||
HTTP |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
9444 |
функция управления гарнитурой |
||
Безопасный RTP/SRTP |
UDP |
Unified CM |
Телефон |
16384–32767 * |
16384–32767 * |
Мультимедиа (аудио) – мелодия режима удержания, аннунциатор, программный мост конференц-связи (открыт на основе сигналов вызова) |
||
Безопасный RTP/SRTP |
UDP |
Телефон |
Unified CM |
16384–32767 * |
16384–32767 * |
Мультимедиа (аудио) – мелодия режима удержания, аннунциатор, программный мост конференц-связи (открыт на основе сигналов вызова) |
||
КОБРА |
TCP |
Клиент |
CUCxn |
Больше 1023 |
20532 |
Резервное копирование и восстановление пакета приложений |
||
ICMP |
ICMP |
Терминальное устройство |
приложения UC |
н/д |
н/д |
Проверка связи |
||
ICMP |
ICMP |
приложения UC |
Терминальное устройство |
н/д |
н/д |
Проверка связи |
||
DNS | UDP и TCP |
система переадресации DNS |
DNS-серверы выделенного экземпляра |
Больше 1023 |
53 |
Переадресаторы локальных DNS клиента на серверы DNS выделенного экземпляра. Дополнительную информацию см. в требованиях к DNS. |
||
* Некоторые специальные случаи могут использовать более широкий диапазон. |
Выделенный экземпляр – порты OTT
Клиенты и партнеры могут использовать следующий порт для настройки мобильного и удаленного доступа (MRA):
Protocol |
TCP/UCP |
Источник |
Адресат |
Исходный порт |
Порт назначения |
Цель |
---|---|---|---|---|---|---|
БЕЗОПАСНЫЙ RTP/RTCP |
UDP |
Expressway C |
Клиент |
Больше 1023 |
36000&'96;59999 |
Безопасный мультимедиа для вызовов MRA и B2B |
Межоперационная магистраль SIP между несколькими клиентами и выделенным экземпляром (только для магистрали на основе регистрации)
Следующий список портов должен быть разрешен в брандмауэре клиента для подключения магистрали SIP на основе регистрации между мультиклиентом и выделенным экземпляром.
Protocol |
TCP/UCP |
Источник |
Адресат |
Исходный порт |
Порт назначения |
Цель |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
многоклиент Webex Calling |
Клиент |
Больше 1023 |
8000-48198 |
Мультимедиа из мультиклиента Webex Calling |
Выделенный экземпляр – порты UCCX
Для настройки UCCX клиенты и партнеры могут использовать приведенный ниже список портов.
Protocol |
TCP / UCP |
Источник |
Адресат |
Исходный порт |
Порт назначения |
Цель |
---|---|---|---|---|---|---|
SSH |
TCP |
Клиент |
UCCX |
Больше 1023 |
22 сентября |
SFTP и SSH |
Информикс |
TCP |
Клиент или сервер |
UCCX |
Больше 1023 |
1504 |
Порт базы данных Contact Center Express |
SIP |
UDP и TCP |
сервер SIP GW или MCRP |
UCCX |
Больше 1023 |
5065 |
Связь с удаленными узлами GW и MCRP |
XMPP |
TCP |
Клиент |
UCCX |
Больше 1023 |
5223 |
Безопасное соединение XMPP между сервером Finesse и пользовательскими сторонними приложениями |
CVD |
TCP |
Клиент |
UCCX |
Больше 1023 |
6999 |
Редактор приложений CCX |
HTTPS |
TCP |
Клиент |
UCCX |
Больше 1023 |
7443 |
Безопасное соединение BOSH между сервером Finesse и рабочими столами операторов и супервизоров для связи по HTTPS |
HTTP |
TCP |
Клиент |
UCCX |
Больше 1023 |
8080 |
Клиенты отчетов с динамическими данными подключаются к серверу socket.IO |
HTTP |
TCP |
Клиент |
UCCX |
Больше 1023 |
8081 |
Браузер клиента пытается получить доступ к веб-интерфейсу Cisco Unified Intelligence Center |
HTTP |
TCP |
Клиент |
UCCX |
Больше 1023 |
8443 |
Графический интерфейс администратора, RTMT, доступ к базе данных через SOAP |
HTTPS |
TCP |
Клиент |
UCCX |
Больше 1023 |
8444 |
веб-интерфейс Cisco Unified Intelligence Center |
HTTPS |
TCP |
Клиенты браузера и REST |
UCCX |
Больше 1023 |
8445 |
Безопасный порт для Finesse |
HTTPS |
TCP |
Клиент |
UCCX |
Больше 1023 |
8447 |
HTTPS — онлайн-справка Unified Intelligence Center |
HTTPS |
TCP |
Клиент |
UCCX |
Больше 1023 |
8553 |
Компоненты системы единого входа (SSO) получают доступ к этому интерфейсу, чтобы узнать рабочее состояние Cisco IdS. |
HTTP |
TCP |
Клиент |
UCCX |
Больше 1023 |
9080 |
Клиенты пытаются получить доступ к HTTP триггерам или документам / подсказкам / грамматикам / динамическим данным. |
HTTPS |
TCP |
Клиент |
UCCX |
Больше 1023 |
9443 |
Безопасный порт, используемый для ответа клиентам, пытающимся получить доступ к триггерам HTTPS |
TCP |
TCP |
Клиент |
UCCX |
Больше 1023 |
12014 |
Это порт, где клиенты отчетов с динамическими данными могут подключаться к серверу socket.IO |
TCP |
TCP |
Клиент |
UCCX |
Больше 1023 |
12015 |
Это порт, где клиенты отчетов с динамическими данными могут подключаться к серверу socket.IO |
CTI |
TCP |
Клиент |
UCCX |
Больше 1023 |
12028 |
Сторонний CTI-клиент в CCX |
RTP(мультимедиа) |
TCP |
Терминальное устройство |
UCCX |
Больше 1023 |
Больше 1023 |
Порт мультимедиа открывается динамически по мере необходимости |
RTP(мультимедиа) |
TCP |
Клиент |
Терминальное устройство |
Больше 1023 |
Больше 1023 |
Порт мультимедиа открывается динамически по мере необходимости |
Безопасность клиента
Защита Jabber и Webex с помощью SIP OAuth
Клиенты Jabber и Webex аутентифицируются с помощью маркера OAuth вместо локально значимого сертификата (LSC), который не требует включения функции прокси центра сертификации (CAPF) (также для MRA). В Cisco Unified CM 12.5(1), Jabber 12.5 и Expressway X12.5 добавлена работа со смешанным режимом SIP OAuth.
В Cisco Unified CM 12.5 появился новый параметр в профиле безопасности телефона, который позволяет шифрование без LSC/CAPF с использованием одного маркера Transport Layer Security (TLS) + OAuth в РЕЕСТРЕ SIP. Узлы Expressway-C используют API веб-службы администрирования XML (AXL) для информирования Cisco Unified CM о SN/SAN в своем сертификате. Cisco Unified CM использует эту информацию для проверки сертификата Exp-C при установлении соединения mutual TLS.
SIP OAuth обеспечивает шифрование мультимедиа и сигналов без сертификата конечной точки (LSC).
Для скачивания файлов конфигурации Cisco Jabber использует эфемерные порты и порты безопасности 6971 и 6972 через соединение HTTPS с сервером TFTP. Порт 6970 является небезопасным портом для скачивания через HTTP.
Дополнительные сведения о конфигурации SIP OAuth: Режим SIP OAuth.
Требования к DNS
Для выделенного экземпляра Cisco предоставляет полное доменное имя для службы в каждом регионе в следующем формате <customer>.<region>.wxc-di.webex.com , например, xyz.amer.wxc-di.webex.com.
Значение ‘customer’ предоставляется администратором в рамках мастера первоначальной настройки (FTSW). Дополнительную информацию см. в разделе Активация службы выделенного экземпляра.
Записи DNS для этого FQDN должны быть разрешены с внутреннего сервера DNS клиента для поддержки локальных устройств, подключающихся к выделенному экземпляру. Для облегчения разрешения клиенту необходимо настроить условный переадресатор для этого FQDN на сервере DNS, указывающем на службу DNS выделенного экземпляра. Служба DNS выделенного экземпляра является региональной и может быть достигнута посредством пиринга на выделенный экземпляр с использованием следующих IP-адресов, как указано в таблице ниже IP-адрес службы DNS выделенного экземпляра.
Регион/округ Колумбия | IP-адрес службы DNS выделенного экземпляра |
Пример условной переадресации |
---|---|---|
Америка (AMER) |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
Азиатско-Тихоокеанский регион, Япония и Китай (APJC) |
<customer>.apjc.wxc-di.webex.com |
|
ГРЕХ |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Опция ping отключена для указанных выше IP-адресов DNS-сервера в целях безопасности. |
До тех пор, пока не будет выполнена условная переадресация, устройства не смогут зарегистрироваться в выделенном экземпляре из внутренней сети клиентов через пиринговые ссылки. Условная переадресация не требуется для регистрации с помощью мобильного и удаленного доступа (MRA), поскольку все необходимые внешние записи DNS для облегчения MRA будут предварительно подготовлены компанией Cisco.
При использовании приложения Webex в качестве программного клиента для вызовов в выделенном экземпляре необходимо настроить профиль UC Manager в Control Hub для домена голосовой службы (VSD) каждого региона. Дополнительную информацию см. в профилях UC Manager в Cisco Webex Control Hub. Приложение Webex сможет автоматически разрешать Expressway Edge клиента без вмешательства конечных пользователей.
Домен голосовой службы будет предоставлен клиенту как часть документа о доступе партнера после завершения активации службы. |
Использование локального маршрутизатора для разрешения DNS телефона
Для телефонов, у которых нет доступа к корпоративным DNS-серверам, можно использовать локальный маршрутизатор Cisco для переадресации DNS-запросов в облачный DNS выделенного экземпляра. Это устраняет необходимость развертывания локального DNS-сервера и обеспечивает полную поддержку DNS, включая кэширование.
Пример конфигурации :
!
сервер ip dns
ip name-server <DI DNS Server IP DC1> <DI DNS Server IP DC2>
!
Использование DNS в этой модели развертывания характерно для телефонов и может использоваться только для разрешения FQDN с доменом от выделенного экземпляра клиентов. |
Ссылки
-
руководство по сетевому проектированию решений для совместной работы Cisco 12.x (SRND), тема безопасности: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Руководство по безопасности Cisco Unified Communications Manager. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html