- Главная
- /
- Статья
Благодарим вас за обратную связь.
Требования к сети и безопасности выделенных экземпляров
В этой статье
Отправить обратную связь?Требования к сети и безопасности для решения Dedicated Instance предполагают многоуровневый подход к функциям и возможностям, обеспечивающим безопасный физический доступ, сеть, конечные устройства и приложения Cisco UC. В нем описываются сетевые требования и перечисляются адреса, порты и протоколы, используемые для подключения ваших конечных устройств к службам.
Сетевые требования для выделенного экземпляра
Webex Calling выделенный экземпляр является частью портфолио службы Вызовы в облаке Cisco на основе технологии Cisco Unified Communications Manager (унифицированная (служба) Cisco CM). Выделенный экземпляр предлагает решения для передачи голоса, видео, обмена сообщениями и обеспечения мобильности, а также функции и преимущества IP-телефонов, мобильных устройств и настольных клиентов Cisco, которые надежно подключаются к выделенной службе.
Эта статья предназначена для администраторов сети, особенно администраторов брандмауэра и безопасности прокси, которые хотят использовать выделенный экземпляр в своей организации.
Обзор системы безопасности: Многоуровневая безопасность
Выделенный экземпляр использует многоуровневый подход к обеспечению безопасности. К уровням относится:
-
Физический доступ
-
Сеть
-
Конечные точки
-
Приложения UC
В следующих разделах описаны уровни безопасности в развертываниях выделенных экземпляров .
Физическая безопасность
Важно обеспечить физическую безопасность для расположения комнаты Meet-Me Equinix и средств центра обработки данных Cisco , выделенных для экземпляров . В случае нарушения физической безопасности могут инициироваться простые атаки, такие как нарушение обслуживания путем отключения питания коммутаторов клиента. При физическом доступе злоумышленники могут получить доступ к серверным устройствам, сбросить пароли и получить доступ к коммутаторам. Физический доступ также облегчает более сложные атаки, например атаки с человека с середины сети, поэтому второй уровень безопасности критически важен.
Диски самозашифрования используются в выделенных центрах обработки данных экземпляров , где находятся приложения UC.
Для получения дополнительной информации об общих методах обеспечения безопасности обратитесь к документации по следующему адресу: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Сетевая безопасность
Партнерам необходимо обеспечить безопасность всех элементов сети в инфраструктуре Dedicated Instance (которая соединяется с Equinix). Ответственность партнера за обеспечение передовой практики обеспечения безопасности:
-
Отдельная VLAN для передачи голоса и данных
-
В этой области можно включить режим безопасности для портов, ограничивающий число MAC-адресов, разрешенных для одного порта, по отношению к нагромоя таблицы CAM
-
Защиты источника IP от подмены IP-адресов
-
Динамический анализ ARP (DAI) анализирует протокол разрешения адресов (ARP) и нательное ARP (GARP) на факт нарушения (по отношению к подмене ARP)
-
802. Ограничение1x доступа к сети для аутентификации устройств в присвоенных сетях VLA (телефоны поддерживают 802.1x)
-
Настройка качества обслуживания (QoS) для соответствующей маркировки голосовых пакетов
-
Конфигурации портов брандмауэра для блокирования любого другого трафика
Безопасность конечных точек
Конечные точки Cisco поддерживают функции безопасности по умолчанию, такие как подписанное микропрограммное обеспечение, защищенная загрузка (выбранные модели), сертификат изготовителя (MIC) и подписанные файлы конфигурации, которые обеспечивают определенный уровень безопасности для конечных точек.
Кроме того, партнер или клиент может обеспечить дополнительную безопасность, в том числе:
-
Шифровать телефонные IP-услуги (посредством HTTPS) для таких услуг, как мобильность телефонных номеров
-
Выдают сертификаты местного качества (LSC) с функции прокси-сервера службы сертификации (CAPF) или публичного ЦС
-
Шифровать файлы конфигурации
-
Шифрование данных мультимедиа и сигнального канала
-
Отключать указанные настройки, если они не используются. порт ПК, доступ к голосовой сети VLAN для ПК, gratuitous ARP, web-доступ, кнопка настроек, SSH, консоль
Реализация механизмов безопасности в выделенном экземпляре предотвращает хищение личных данных телефонов и сервера Unified CM, не фальсификацию данных и ненамерение медиапотока.
Выделенный экземпляр сети:
-
Устанавливает и поддерживает потоки связи с аутентификацией
-
Перед передачей файла на телефон необходимо цифровой подписи
-
Шифрует потоки мультимедиа и сигнальные данные о вызовах между унифицированная (служба) Cisco IP-телефонами
По умолчанию система безопасности обеспечивает следующие функции автоматической защиты унифицированная (служба) Cisco IP-телефонов.
-
Подписание файлов конфигурации телефона
-
Поддержка шифрования файлов конфигурации телефона
-
HTTPS с Tomcat и другими веб-службами (MDlets)
Для Unified CM выпуска 8.0 и последующих выпусков эти функции безопасности предоставляются по умолчанию без запуска клиента CTL.
сервис проверки доверияПоскольку в сети большое количество телефонов и IP-телефоны имеют ограниченный объем памяти, унифицированная (служба) Cisco CM действует как удаленное хранилище доверия через службу проверки доверия (TVS), поэтому для каждого телефона не нужно размещать хранилище доверия сертификата. IP-телефоны Cisco для проверки обратились к серверу TVS, поскольку они не могут проверить подпись или сертификат посредством файлов CTL или ITL. Централизованное хранилище доверия проще в управлении, чем управление этим хранилищем в каждом из унифицированная (служба) Cisco IP-телефона.
Компания TVS позволяет унифицированная (служба) Cisco IP-телефонам аутентификацию серверов приложений, таких как услуги EM, каталог и MIDlet, во время установления HTTPS.
Первоначальный список доверенных лицФайл исходного списка доверия (ITL) используется для начальной безопасности, чтобы конечные точки могли доверять унифицированная (служба) Cisco CM. ITL не требует явного включения функций безопасности. Файл ITL создается автоматически после установки кластера. Закрытый ключ сервера Trivial File Transfer Protocol (TFTP) Unified CM используется для подписи файла ITL.
Если кластер унифицированная (служба) Cisco CM или сервер находится в незабезопасном режиме, файл ITL скачивается на каждый поддерживаемый IP-телефон Cisco. Партнер может просматривать содержание файла ITL с помощью команды CLI admin:show itl.
По умолчанию администратору партнера предоставляется доступ уровня 1 к интерфейсу командной строки. Для получения дополнительной информации и ознакомления с командами, разрешенными на уровне 1, обратитесь к разделу «О CLI».
IP-телефоны Cisco нуждаются в файле ITL для выполнения следующих задач:
-
Безопасная связь с CAPF – предварительным условием для поддержки шифрования файлов конфигурации
-
Аутентификация подписи файла конфигурации
-
Аутентификация серверов приложений, таких как службы EM, каталог и MIDlet во время установления HTTPS с помощью TVS
Аутентификация устройства, файла и сигнального сигнала зависит от создания файла CTL, который создается после установки партнером или клиентом клиента и настройки клиента списка доверия сертификата Cisco.
Файл CTL содержит записи для следующих серверов или маркеров безопасности:
-
Маркер безопасности (SAST) для системного администратора
-
Службы Cisco CallManager и Cisco TFTP, работающие на одном сервере
-
Функция прокси-сервера для органов сертификации (CAPF)
-
Серверы TFTP
-
Межсетевой экран ASA
Файл CTL содержит сертификат сервера, открытый ключ, серийный номер, подпись, имя эмитента, имя субъекта, функцию сервера, имя DNS и IP-адрес для каждого сервера.
Функции защиты телефона с помощью CTL:
-
Аутентификация скачаемых файлов TFTP (конфигурация, региональные настройки, список мелодий и т. г.) с помощью ключа подписи
-
Шифрование файлов конфигурации TFTP с помощью подписи
-
Шифрование сигналов вызова для IP-телефонов
-
Шифрование аудио вызовов (медиа) для IP-телефонов
Выделенный экземпляр обеспечивает регистрацию оконечной точки и обработку вызовов. Сигнальные данные между унифицированная (служба) Cisco CM и конечными точками основаны на протоколе управления secure Skinny Client Control Protocol (SCCP) или протокол установления сеанса (SIP) и могут быть зашифрованы с помощью протокола TLS (Transport Layer Security). Мультимедиа от/до конечных точек основывается на транспортных протоколах реального времени (RTP), а также может быть зашифровано с помощью безопасного протокола RTP (SRTP).
Включение смешанного режима в Unified CM позволяет шифрование сигнального и медиа трафика от и до конечных точек Cisco.
Защищенные приложения унифицированных коммуникаций
Включение смешанного режима в выделенном экземпляреВ режиме смешанного режима он включен по умолчанию в режиме выделенного экземпляра.
Включение смешанного режима в выделенном экземпляре позволяет выполнять шифрование сигнального и медиа трафика от и до оконечного устройства Cisco.
Начиная с версии Cisco Unified CM 12.5(1), появилась новая опция, позволяющая включить шифрование сигналов и мультимедиа на основе SIP OAuth вместо смешанного режима. / Для клиентов Jabber и Webex была добавлена функция CTL. Таким образом, в выпуске Unified CM 12.5(1) SIP OAuth и SRTP можно использовать для шифрования сигналов и мультимедиа для клиентов Jabber или Webex. В настоящее время для IP-телефонов Cisco и других конечных точек Cisco по-прежнему требуется включение смешанного режима. В будущем выпуске планируется добавить поддержку SIP OAuth для оконечного тока 7800/8800.
безопасность голосовых сообщенийCisco Unity Connection Unified CM через порт TLS. Если режим безопасности устройства не является защищенным, Cisco Unity Connection к Unified CM через порт SCCP.
Для настройки безопасности портов голосовых сообщений Unified CM и устройств Cisco Unity с устройствами SCCP или Cisco Unity Connection с SCCP партнер может выбрать для порта режим защиты устройств. При выборе порта голосовой почты с аутентификацией открывается соединение TLS, которое аутентификация устройств с помощью mutual certificate exchange (каждое устройство принимает сертификат другого устройства). При выборе порта голосовой почты с шифрованием система сначала аутентификация устройств, а затем отправляет между устройствами зашифрованные голосовые потоки.
Для получения дополнительной информации о портах голосовой связи см. раздел [ Безопасность голосовой связи в Руководстве по безопасности Cisco Unified Communications Manager.
Безопасность для SRST, магистральных шлюзов, шлюзов, CUBE/SBC
Если унифицированная (служба) Cisco CM на выделенном экземпляре не может завершить вызов, шлюз с поддержкой унифицированная (служба) Cisco удаленных сайтов (SRST) обеспечивает ограниченную обработку вызовов.
Защищенные шлюзы с поддержкой SRST содержат самозаверяя сертификат. После выполнения партнером задач настройки SRST в службе администрирования Unified CM Unified CM для аутентификации со службой поставщика сертификатов в шлюзе с поддержкой SRST используется соединение TLS. Затем Unified CM извлекает сертификат из шлюза с поддержкой SRST и добавляет сертификат в базу данных Unified CM.
После сброса партнером зависимых устройств в службе администрирования Unified CM сервер TFTP добавляет сертификат шлюза с поддержкой SRST в файл cnf.xml телефона и отправляет файл на телефон. Защищенный телефон затем использует соединение TLS для взаимодействия с шлюзом с поддержкой SRST.
Рекомендуется иметь защищенные магистрали для вызова, исходящие от унифицированная (служба) Cisco CM к шлюзу, для исходящие вызовы PSTN или обхода через граничный элемент унифицированная (служба) Cisco (CUBE).
Магистрали SIP поддерживают защищенные вызовы как для сигнального, так и для мультимедиа; Протокол TLS обеспечивает шифрование сигнального сигнала, а SRTP обеспечивает шифрование мультимедиа.
Обеспечение безопасности связи между Cisco Unified CM и CUBE
Для безопасного взаимодействия между унифицированная (служба) Cisco CM и CUBE партнеры/клиенты должны использовать либо самозаверяют сертификаты, либо сертификаты, подписанные ЦС.
Для самозаверяных сертификатов:
-
CUBE и унифицированная (служба) Cisco CM создают самозаверяют сертификаты
-
CUBE экспортирует сертификат в унифицированная (служба) Cisco CM
-
унифицированная (служба) Cisco CM экспортирует сертификат в CUBE
Для сертификатов, подписанных ЦС:
-
Клиент создает пару ключей и отправляет запрос на подпись сертификата (CSR) в центр сертификации (CA).
-
ЦС подписывает его с помощью закрытого ключа, создавая сертификат удостоверения
-
Клиент устанавливает список доверенных корневых и посредникных сертификатов ca и сертификата идентификации
Безопасность удаленных конечных точек
При наличии конечных точек Remote Access (MRA) сигнализация и мультимедиа всегда шифруются между конечными точками MRA и Expressway узлами. Если для конечных точек MRA используется протокол установления интерактивного соединения (ICE), для оконечного устройства MRA необходимо шифрование сигнального протокола и среды оконечного устройства. Однако для шифрования сигнального и медиасигналов между серверами Expressway-C и внутренними серверами Unified CM, внутренними конечными точками или другими внутренними устройствами необходим смешанный режим или SIP OAuth.
Cisco Expressway обеспечивает безопасный обход брандмауэра и поддержку на стороне линии для регистраций Unified CM. Unified CM обеспечивает управление вызовами как для мобильных, так и для локальной конечных точек. Сигнальный сигнал проходит через решение Expressway между удаленным оконечнным точком и Unified CM. Мультимедиа проходит через Expressway и ретранслируется между конечными точками напрямую. Все мультимедиа шифруются между Expressway-C и мобильной конечной точкой.
Любое решение MRA требует на Expressway Unified CM с совместимыми с MRA клиентами и/или фиксированными конечными точками. Дополнительное решение может включать службы im и Presence и Unity Connection.
Краткое описание протокола
В таблице ниже показаны протоколы и связанные с ними службы, используемые в решении Unified CM.
|
Протокол |
Безопасность |
Служба |
|---|---|---|
|
SIP |
TLS |
Установление сеанса: Регистрация, приглашение и т. д. |
|
HTTPS |
TLS |
Войт, и подготовка/настройка, каталог, визуальная голосовая почта |
|
Медиа- |
SRTP |
Носителя: Аудио, видео, совместный доступ к контенту |
|
XMPP |
TLS |
Обмен мгновенными сообщениями, присутствие, федерация |
Более подробную информацию о конфигурации MRA см. в: Сценарии развертывания MRA раздел Руководство по развертыванию мобильного и удаленного доступа через Cisco Expressway.
Параметры конфигурации
Выделенный экземпляр обеспечивает партнеру гибкие возможности настройки служб для конечных пользователей посредством полного управления настройкой двухдневных конфигураций. В результате партнер исключительно отвечает за надлежащую настройку службы выделенных экземпляров для среды конечного пользователя. К ним, в частности, относятся:
-
Выбор безопасных/незабезопасных вызовов, протоколов защиты и защиты, таких как SIP/sSIP, http/https и т. д., и понимание всех связанных с этим факторов риска.
-
Для всех MAC-адресов, не настроенных как безопасные SIP в выделенном экземпляре, злоумышленник может отправлять сообщение регистрации SIP с помощью этого MAC-адреса и иметь возможность посылать вызовы SIP , что приводит к мошенничеству. Злоумышленник может зарегистрировать свое устройство или программное обеспечение SIP в выделенном экземпляре без авторизации, если он знает MAC-адрес устройства, зарегистрированного в выделенном экземпляре.
-
Expressway вызовов "-E", для предотвращения мошенничества при оплате вызовов необходимо настроить правила преобразования и поиска. Чтобы получить более подробную информацию о предотвращении мошенничества с использованием Expressway, обратитесь к разделу Безопасность Expressway C и Expressway-E для совместной работы SRND.
-
Настройка плана набора номера гарантирует, что пользователи смогут набирать номера только разрешенных адресов, например, запрещенных. national/international Набор номера, переадресация экстренных вызовов и т.д.
Для получения дополнительной информации о применении ограничений с помощью плана набора номера для Cisco Unified Communications Manager 12.x и выше см. раздел План набора номера в документе Collaboration SRND.
Для получения дополнительной информации о протестированных и рекомендуемых моделях развертывания см. Предпочтительная архитектура для развертывания Cisco Collaboration Release 15 в локальной среде.
Требования к сертификатам для обеспечения безопасного соединения в выделенном экземпляре.
Для выделенного экземпляра Cisco предоставит домен и подпишет все сертификаты для приложений UC с помощью публичного сертификата (CA).
Выделенный экземпляр — номера портов и протоколы
В таблицах ниже описаны порты и протоколы, поддерживаемые в выделенном экземпляре. Порты, используемые конкретным клиентом, зависят от используемого им решения и развертываемой системы. Выбор протокола зависит от предпочтений клиента (SCCP или SIP), имеющихся локальных устройств и уровня безопасности, определяющего, какие порты следует использовать в каждом конкретном случае.
В режиме выделенного экземпляра не поддерживается трансляция сетевых адресов (NAT) между конечными точками и Unified CM, поскольку некоторые функции управления потоком вызовов работать не будут, например, функция обработки вызовов в середине разговора.
Выделенный экземпляр – порты клиента
Доступные для клиентов порты – между локальной и выделенной экземплярами клиента отображается в таблице 1 Выделенные порты клиента экземпляра. Все перечисленные ниже порты для трафика клиента, который проходит через одноранговые соединения.
Порт SNMP открыт по умолчанию только для обеспечения функциональности Cisco Emergency Responder. Поскольку мы не поддерживаем мониторинг приложений UC, развернутых в облаке на выделенном экземпляре, со стороны партнеров или клиентов, мы не разрешаем открытие SNMP-порта для каких-либо других приложений UC.
Порт SNMP включен для приложения Singlewire (Informacast) (только для приложения Unified CM). При отправке запроса убедитесь, что IP-адреса, связанные с приложением Singlewire, явно указаны в разделе Причина разрешения запроса. Для получения дополнительной информации см. Создание запроса на обслуживание.
Порты в диапазоне 5063–5080 зарезервированы компанией Cisco для интеграции с другими облачными сервисами; администраторам партнеров или клиентов рекомендуется не использовать эти порты в своих конфигурациях.
|
Протокол |
TCP/UDP |
Source |
Адресат |
Исходный порт |
Порт назначения |
Цель |
|---|---|---|---|---|---|---|
|
Ssh |
Протокол TCP |
Клиент |
Приложения UC Не допускается использование приложений Cisco Expressway. |
Более 1023 |
22 |
Администрирование |
|
TFTP |
UDP |
Терминальное устройство |
Unified CM |
Более 1023 |
69 |
Поддержка устаревших конечных точек |
|
LDAP; |
Протокол TCP |
Приложения UC |
Внешний каталог |
Более 1023 |
389 |
Синхронизация каталогов с клиентом LDAP |
|
HTTPS |
Протокол TCP |
Браузер |
Приложения UC |
Более 1023 |
443 |
Веб-доступ для интерфейсов самостоятельного обслуживания и администрирования |
|
Исходящие сообщения (SECURE) |
Протокол TCP |
Приложение UC |
CUCxn |
Более 1023 |
587 |
Используется для составить и передать защищенные сообщения любым назначенным получателям |
|
LDAP (БЕЗОПАСНЫЙ) |
Протокол TCP |
Приложения UC |
Внешний каталог |
Более 1023 |
636 |
Синхронизация каталогов с клиентом LDAP |
|
H323 |
TCP |
Шлюз |
Unified CM |
Более 1023 |
1720 |
Сигнализация вызовов |
|
H323 |
Протокол TCP |
Unified CM |
Unified CM |
Более 1023 |
1720 |
Сигнализация вызовов |
|
SCCP |
Протокол TCP |
Терминальное устройство |
Unified CM, CUCxn |
Более 1023 |
2000 |
Сигнализация вызовов |
|
SCCP |
Протокол TCP |
Unified CM |
Unified CM, шлюз |
Более 1023 |
2000 |
Сигнализация вызовов |
|
МГКП |
UDP |
Шлюз |
Шлюз |
Более 1023 |
2427 |
Сигнализация вызовов |
|
Обратная связь MGCP |
TCP |
Шлюз |
Unified CM |
Более 1023 |
2428 |
Сигнализация вызовов |
|
SCCP (БЕЗОПАСНЫЙ) |
Протокол TCP |
Терминальное устройство |
Unified CM, CUCxn |
Более 1023 |
2443 |
Сигнализация вызовов |
|
SCCP (БЕЗОПАСНЫЙ) |
Протокол TCP |
Unified CM |
Unified CM, шлюз |
Более 1023 |
2443 |
Сигнализация вызовов |
|
Проверка доверия |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
2445 |
Предоставление конечным точкам службы проверки доверия |
|
Cti |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
2748 |
Соединение между приложениями CTI (JTAPI/TSP) и CTIManager |
|
Защищенная CTI |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
2749 |
Безопасное соединение между приложениями CTI (JTAPI/TSP) и CTIManager |
|
Глобальный каталог LDAP |
Протокол TCP |
Приложения UC |
Внешний каталог |
Более 1023 |
3268 |
Синхронизация каталогов с клиентом LDAP |
|
Глобальный каталог LDAP |
Протокол TCP |
Приложения UC |
Внешний каталог |
Более 1023 |
3269 |
Синхронизация каталогов с клиентом LDAP |
|
Служба CAPF |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
3804 |
Порт прослушивания функции прокси-сервера органов сертификации (CAPF) для выдачи IP-телефонам сертификатов местного разрешения (LSC) |
|
SIP |
Протокол TCP |
Терминальное устройство |
Unified CM, CUCxn |
Более 1023 |
5060 |
Сигнализация вызовов |
|
SIP |
Протокол TCP |
Unified CM |
Unified CM, шлюз |
Более 1023 |
5060 |
Сигнализация вызовов |
|
SIP (БЕЗОПАСНЫЙ) |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
5061 |
Сигнализация вызовов |
|
SIP (БЕЗОПАСНЫЙ) |
Протокол TCP |
Unified CM |
Unified CM, шлюз |
Более 1023 |
5061 |
Сигнализация вызовов |
|
SIP (OAUTH) |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
5090 |
Сигнализация вызовов |
|
XMPP |
Протокол TCP |
Клиент Jabber |
Cisco IM&P |
Более 1023 |
5222 |
Обмен мгновенными сообщениями и присутствие |
|
HTTP |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
6970 |
Загрузка конфигурации и изображений в конечные точки |
|
HTTPS |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
6971 |
Загрузка конфигурации и изображений в конечные точки |
|
HTTPS |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
6972 |
Загрузка конфигурации и изображений в конечные точки |
|
HTTP |
Протокол TCP |
Клиент Jabber |
CUCxn |
Более 1023 |
7080 |
Уведомления голосовой почты |
|
HTTPS |
Протокол TCP |
Клиент Jabber |
CUCxn |
Более 1023 |
7443 |
Уведомления о защищенной голосовой почте |
|
HTTPS |
Протокол TCP |
Unified CM |
Unified CM |
Более 1023 |
7501 |
Используется службой межluster Lookup Service (ILS) для аутентификации на основе сертификатов |
|
HTTPS |
Протокол TCP |
Unified CM |
Unified CM |
Более 1023 |
7502 |
Используется ILS для аутентификации на основе пароля |
|
IMAP |
Протокол TCP |
Клиент Jabber |
CUCxn |
Более 1023 |
7993 |
IMAP по TLS |
|
HTTP |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
8080 |
URI каталога для поддержки устаревших конечных точек |
|
HTTPS |
Протокол TCP |
Браузер, конечная точка |
Приложения UC |
Более 1023 |
8443 |
Веб-доступ для самостоятельного управления и административных интерфейсов, UDS |
|
HTTPS |
Протокол TCP |
Телефон |
Unified CM |
Более 1023 |
9443 |
Поиск контактов с аутентификацией |
|
HTTPs |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
9444 |
Функция управления гарнитурой |
|
Защищенный RTP/SRTP |
UDP |
Unified CM |
Телефон |
С 16384 по 32767* |
С 16384 по 32767* |
Мультимедиа (аудио) – музыка в удержании, Annunciator, программный мост конференц-связи (открыт на основании сигналов вызова) |
|
Защищенный RTP/SRTP |
UDP |
Телефон |
Unified CM |
С 16384 по 32767* |
С 16384 по 32767* |
Мультимедиа (аудио) – музыка в удержании, Annunciator, программный мост конференц-связи (открыт на основании сигналов вызова) |
|
КОБРЫ |
Протокол TCP |
Клиент |
CUCxn |
Более 1023 |
20532 |
Резервное копирование и восстановление пакета приложений |
|
ICMP |
ICMP |
Терминальное устройство |
Приложения UC |
н/д |
н/д |
Проверка связи |
|
ICMP |
ICMP |
Приложения UC |
Терминальное устройство |
н/д |
н/д |
Проверка связи |
| DNS | UDP и TCP |
DNS-переадресатор |
Выделенные DNS-серверы |
Более 1023 |
53 |
Переадресация DNS-запросов от клиента к выделенным DNS-серверам. См. Требования DNS для получения дополнительной информации. |
|
* Для некоторых особых случаев может применяться большее количество случаев. |
||||||
Выделенный экземпляр – порты OTT
Для настройки мобильного и удаленного доступа (MRA) клиенты и партнеры могут использовать следующий порт:
|
Протокол |
TCP/UCP |
Source |
Адресат |
Исходный порт |
Порт назначения |
Цель |
|---|---|---|---|---|---|---|
|
ЗАЩИЩЕННЫЙ RTP/RTCP |
UDP |
Скоростная автомагистраль C |
Клиент |
Более 1023 |
36000-59999 |
Защищенный медиа -для вызовов MRA и B2B |
Взаимодействие SIP-транков между многопользовательскими и выделенными экземплярами (только для транковых соединений на основе регистрации).
Для подключения SIP-транка на основе регистрации между многопользовательским и выделенным экземплярами необходимо разрешить следующие порты в брандмауэре клиента.
|
Протокол |
TCP/UCP |
Source |
Адресат |
Исходный порт |
Порт назначения |
Цель |
|---|---|---|---|---|---|---|
|
RTP/RTCP |
UDP |
Webex Calling Multi-Tenant |
Клиент |
Более 1023 |
8000-48198 |
Медиафайлы с Webex Calling Multi-enant |
Выделенный экземпляр – порты UCCX
Клиенты и партнеры могут использовать следующий список портов для настройки UCCX.
|
Протокол |
TCP / UCP |
Source |
Адресат |
Исходный порт |
Порт назначения |
Цель |
|---|---|---|---|---|---|---|
|
Ssh |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
22 |
SFTP и SSH |
|
Informix |
Протокол TCP |
Клиент или сервер |
UCCX |
Более 1023 |
1504 |
Порт базы данных Contact Center Express |
|
SIP |
UDP и TCP |
Сервер SIP GW или MCRP |
UCCX |
Более 1023 |
5065 |
Связь с удаленными узлами GW и MCRP |
|
XMPP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
5223 |
Безопасное соединение XMPP между сервером Finesse и пользовательскими сторонними приложениями |
|
Cvd |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
6999 |
Приложения Editor to CCX |
|
HTTPS |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
7443 |
Безопасное подключение КОШ между сервером Finesse и рабочими столами операторов и диспетчеров для передачи данных по HTTPS |
|
HTTP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
8080 |
Клиенты, предоставляющие данные в режиме реального времени, подключаются к серверу socket.IO. |
|
HTTP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
8081 |
Клиентский браузер пытается получить доступ к веб унифицированная (служба) Cisco-интерфейсу Intelligence Center |
|
HTTP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
8443 |
Административный интерфейс, RTMT, доступ к базе данных по протоколу SOAP |
|
HTTPS |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
8444 |
унифицированная (служба) Cisco- и web-интерфейса Intelligence Center |
|
HTTPS |
Протокол TCP |
Клиенты для браузеров и REST |
UCCX |
Более 1023 |
8445 |
Защищенный порт для Finesse |
|
HTTPS |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
8447 |
HTTPS – онлайн-справка центра Unified Intelligence Center |
|
HTTPS |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
8553 |
Компоненты единого входа (SSO) обращаются к этому интерфейсу для получения информации о рабочем состоянии Cisco IdS. |
|
HTTP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
9080 |
Клиенты, пытаются получить доступ к триггерам HTTP, документам, подсказкам/ грамматикам / данным в прямом эфире. |
|
HTTPS |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
9443 |
Защищенный порт, используемый для реагирования на запросы клиентов о доступе к триггерам HTTPS |
|
Протокол TCP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
12014 |
Это порт, через который клиенты, предоставляющие данные в режиме реального времени, могут подключаться к серверу socket.IO. |
|
Протокол TCP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
12015 |
Это порт, через который клиенты, предоставляющие данные в режиме реального времени, могут подключаться к серверу socket.IO. |
|
Cti |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
12028 |
Сторонний CTI-клиент для CCX |
|
RTP (мультимедиа) |
Протокол TCP |
Терминальное устройство |
UCCX |
Более 1023 |
Более 1023 |
При необходимости порт мультимедиа открывается динамически. |
|
RTP (мультимедиа) |
Протокол TCP |
Клиент |
Терминальное устройство |
Более 1023 |
Более 1023 |
При необходимости порт мультимедиа открывается динамически. |
Безопасность клиента
Защита Jabber и Webex с помощью SIP OAuth
Аутентификация клиентов Jabber и Webex обеспечивается посредством маркера OAuth вместо локального сертификата (LSC), что не требует возможности аутентификации прокси-сервера сертификации (CAPF) (для MRA). Функция SIP OAuth, работающая в смешанном режиме или без него, была представлена в Cisco Unified CM 12.5(1) и более поздних версиях, Jabber 12.5 и более поздних версиях, а также Expressway X12.5.
В Cisco Unified CM 12.5 и более поздних версиях появилась новая опция в профиле безопасности телефона, которая включает шифрование без LSC/CAPF, с использованием единого протокола безопасности транспортного уровня (TLS) + Токен OAuth в SIP-регистре. Expressway-C узлы используют API административной веб-службы XML (AXL) для информирования унифицированная (служба) Cisco CM о SN/SAN в своем сертификате. унифицированная (служба) Cisco CM использует эту информацию для проверки сертификата Exp-C при установлении mutual TLS соединения.
SIP OAuth включает шифрование мультимедиа и сигнального трафика без сертификата конечной точки (LSC).
Для скачивания файлов конфигурации Cisco Jabber через подключение HTTPS к серверу TFTP использует ненамеренный порт и защищенные порты 6971 и 6972. Порт 6970 является неза защищенным портом для загрузки посредством HTTP.
Дополнительные сведения о конфигурации SIP OAuth: Режим SIP OAuth.
требования DNS
Для отдельного экземпляра Cisco предоставляет FQDN для службы в каждом регионе в следующем формате <customer>.<region> wxc-di.webex.com, например , xyz.amer.wxc-di.webex.com.
Значение клиента предоставляется администратором в рамках мастера первой настройки (FTSW). Дополнительные сведения можно найти в ссылке Активация службы для выделенных экземпляров.
Для поддержки локального устройства, подключенного к выделенной службе, необходимо разрешить записи DNS для этого FQDN на внутреннем DNS-сервере клиента. Для упрощения разрешения проблем клиенту необходимо настроить условный перенастройщик для этого FQDN на DNS-сервере, который будет на сервере DNS, а также на службу DNS выделенного экземпляра. Служба DNS выделенного экземпляра является региональной и доступна через пиринг с выделенным экземпляром, используя следующие IP-адреса, указанные в таблице ниже : IP-адрес службы DNS выделенного экземпляра.
|
Регион/ЦС | IP-адрес службы DNS выделенного экземпляра |
Пример условной переадментции |
|---|---|---|
|
Северная и Южная Америка |
<customer>.amer.wxc-di.webex.com | |
|
ЛАК |
69.168.17.100 |
|
|
IAD |
69.168.17.228 |
|
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
|
Lon |
178.215.138.100 |
|
|
Ams |
178.215.138.228 |
|
|
Евросоюз |
<customer>.eu.wxc-di.webex.com |
|
|
ФРА |
178.215.131.100 |
|
|
Ams |
178.215.131.228 |
|
|
Азиатско-тихоокеанский регион, Япония и Китай. |
<customer>.apjc.wxc-di.webex.com |
|
|
Грех |
103.232.71.100 |
|
|
ТКЙ |
103.232.71.228 |
|
|
AUS |
<customer>.aus.wxc-di.webex.com | |
|
Мел |
178.215.128.100 |
|
|
Сид |
178.215.128.228 |
|
|
Соединенное Королевство |
<customer>.uk.wxc-di.webex.com | |
|
Lon |
178.215.135.100 |
|
|
МУЖЧИНА |
178.215.135.228 |
|
|
Саудовская Аравия |
<customer>.sa.wxc-di.webex.com | |
|
ДЖЕД |
178.215.140.100 | |
|
РХУ |
178.215.140.228 | |
В целях безопасности параметр ping отключен для вышеуказанных IP-адресов DNS-серверов.
Устройства не смогут регистрироваться в выделенном экземпляре из внутренней сети клиента посредством одноранговых ссылок, пока не будет зарегистрировано условное перенаправляние. Условная переадментация не требуется для регистрации с помощью мобильных устройств и службы Remote Access (MRA), поскольку все необходимые внешние записи DNS для упрощения MRA будут предварительно подготовки компании Cisco.
При использовании приложения Webex в качестве программы телефонии для выделенного экземпляра необходимо настроить профиль менеджера UC в Control Hub для домена голосовой службы (VSD) в каждом регионе. Дополнительные сведения можно найти в профиле менеджера UC в Cisco Webex Control Hub. Приложение Webex сможет автоматически разрешать клиентскую сеть Expressway Edge без какого-либо вмешательства конечного пользователя.
Домен голосовой службы будет предоставлен клиенту в рамках документа о доступе партнера после завершения активации службы.
Используйте локальный маршрутизатор для разрешения DNS-запросов к телефону.
Для телефонов, не имеющих доступа к корпоративным DNS-серверам, можно использовать локальный маршрутизатор Cisco для переадресации DNS-запросов на облачный DNS-сервер Dedicated Instance. Это устраняет необходимость развертывания локального DNS-сервера и обеспечивает полную поддержку DNS, включая кэширование.
Пример конфигурации :
!
IP DNS-сервер
ip name-server <DI DNS Server IP DC1> <DI DNS Server IP DC2>
!
В данной модели развертывания использование DNS относится только к телефонам и может применяться только для разрешения полных доменных имен (FQDN) с доменом из выделенного экземпляра клиента.
