Sieťové požiadavky pre vyhradenú inštanciu

Webex Calling Dedicated Instance je súčasťou portfólia Cisco Cloud Calling, ktoré využíva technológiu spolupráce Cisco Unified Communications Manager (Cisco Unified CM). Vyhradená inštancia ponúka riešenia hlasu, videa, správ a mobility s funkciami a výhodami IP telefónov, mobilných zariadení a desktopových klientov Cisco, ktoré sa bezpečne pripájajú k vyhradenej inštancii.

Tento článok je určený pre správcov siete, najmä pre správcov brány firewall a zabezpečenia servera proxy, ktorí chcú v rámci svojej organizácie používať vyhradenú inštanciu.

Prehľad zabezpečenia: Bezpečnosť vo vrstvách

Vyhradená inštancia používa vrstvený prístup na zabezpečenie. Vrstvy zahŕňajú:

  • Fyzický prístup

  • Sieť

  • Koncové body

  • aplikácie UC

Nasledujúce časti popisujú vrstvy zabezpečenia v nasadení vyhradenej inštancie.

Fyzická bezpečnosť

Je dôležité zabezpečiť fyzické zabezpečenie miest Equinix Meet-Me Room a zariadení Cisco Dedicated Instance Data Center. Keď je ohrozená fyzická bezpečnosť, môžu byť iniciované jednoduché útoky, ako je prerušenie služby vypnutím napájania prepínačov zákazníka. S fyzickým prístupom by útočníci mohli získať prístup k serverovým zariadeniam, resetovať heslá a získať prístup k prepínačom. Fyzický prístup tiež uľahčuje sofistikovanejšie útoky, ako sú útoky typu man-in-the-middle, a preto je dôležitá druhá vrstva zabezpečenia, bezpečnosť siete.

Samošifrovacie jednotky sa používajú v dátových centrách vyhradených inštancií, ktoré sú hostiteľmi aplikácií UC.

Ďalšie informácie o všeobecných bezpečnostných postupoch nájdete v dokumentácii na nasledujúcej adrese: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Zabezpečenie siete

Partneri musia zabezpečiť, aby boli všetky sieťové prvky zabezpečené v infraštruktúre vyhradenej inštancie (ktorá sa pripája cez Equinix). Je zodpovednosťou partnera zabezpečiť najlepšie bezpečnostné postupy, ako napríklad:

  • Samostatná VLAN pre hlas a dáta

  • Povoľte zabezpečenie portov, ktoré obmedzuje počet povolených adries MAC na port, aby nedošlo k zahlteniu tabuľky CAM

  • Ochrana zdroja IP pred falošnými adresami IP

  • Dynamická kontrola ARP (DAI) skúma porušenie protokolu na riešenie adresy (ARP) a bezodplatného ARP (GARP) (proti spoofingu ARP)

  • 802.1x obmedzuje prístup k sieti na overenie zariadení v priradených VLAN (telefóny podporujú 802.1x)

  • Konfigurácia kvality služby (QoS) pre vhodné označovanie hlasových paketov

  • Konfigurácie portov brány firewall na blokovanie akejkoľvek inej prevádzky

Zabezpečenie koncových bodov

Koncové body Cisco podporujú predvolené funkcie zabezpečenia, ako je podpísaný firmvér, bezpečné spustenie (vybrané modely), certifikát nainštalovaný výrobcom (MIC) a podpísané konfiguračné súbory, ktoré poskytujú určitú úroveň zabezpečenia koncovým bodom.

Okrem toho môže partner alebo zákazník povoliť dodatočné zabezpečenie, ako napríklad:

  • Šifrovanie IP telefónnych služieb (cez HTTPS) pre služby ako Extension Mobility

  • Vydávanie lokálne významných certifikátov (LSC) z funkcie proxy certifikačnej autority (CAPF) alebo verejnej certifikačnej autority (CA)

  • Šifrovanie konfiguračných súborov

  • Šifrovanie médií a signalizácie

  • Zakážte tieto nastavenia, ak sa nepoužívajú: PC port, PC Voice VLAN Access, bezplatné ARP, webový prístup, tlačidlo Nastavenia, SSH, konzola

Implementácia bezpečnostných mechanizmov vo vyhradenej inštancii zabraňuje krádeži identity telefónov a servera Unified CM, manipulácii s údajmi a manipulácii so signalizáciou hovorov / toku médií.

Vyhradená inštancia cez sieť:

  • Vytvára a udržiava overené komunikačné toky

  • Digitálne podpíše súbory pred prenosom súboru do telefónu

  • Šifruje toky médií a signalizáciu hovorov medzi telefónmi Cisco Unified IP

Predvolené nastavenie zabezpečenia

Zabezpečenie v predvolenom nastavení poskytuje nasledujúce funkcie automatického zabezpečenia pre telefóny Cisco Unified IP:

  • Podpisovanie konfiguračných súborov telefónu

  • Podpora pre šifrovanie konfiguračných súborov telefónu

  • HTTPS s Tomcatom a ďalšími webovými službami (MIDlety)

Pre Unified CM Release 8.0 neskôr sú tieto bezpečnostné funkcie poskytované štandardne bez spustenia klienta Certificate Trust List (CTL).

Služba overovania dôveryhodnosti

Keďže v sieti je veľký počet telefónov a IP telefóny majú obmedzenú pamäť, Cisco Unified CM funguje ako vzdialené úložisko dôveryhodnosti prostredníctvom služby Trust Verification Service (TVS), takže úložisko dôveryhodnosti certifikátov nemusí byť umiestnené na každom telefóne. IP telefóny Cisco kontaktujú server TVS kvôli overeniu, pretože nemôžu overiť podpis alebo certifikát prostredníctvom súborov CTL alebo ITL. S centrálnym úložiskom dôveryhodnosti je jednoduchšie spravovať ako s úložiskom dôveryhodnosti v každom telefóne Cisco Unified IP.

TVS umožňuje telefónom Cisco Unified IP overovať aplikačné servery, ako sú EM služby, adresár a MIDlet, počas vytvárania HTTPS.

Počiatočný zoznam dôveryhodných

Súbor Initial Trust List (ITL) sa používa na počiatočné zabezpečenie, aby koncové body mohli dôverovať Cisco Unified CM. ITL nepotrebuje explicitne aktivovať žiadne bezpečnostné funkcie. Súbor ITL sa automaticky vytvorí pri inštalácii klastra. Na podpísanie súboru ITL sa používa súkromný kľúč servera Unified CM Trivial File Transfer Protocol (TFTP).

Keď je klaster alebo server Cisco Unified CM v nezabezpečenom režime, súbor ITL sa stiahne do každého podporovaného IP telefónu Cisco. Partner môže zobraziť obsah súboru ITL pomocou príkazu CLI, admin:show itl.

Telefóny Cisco IP potrebujú súbor ITL na vykonávanie nasledujúcich úloh:

  • Bezpečná komunikácia s CAPF, predpoklad na podporu šifrovania konfiguračného súboru

  • Overte podpis konfiguračného súboru

  • Autentifikácia aplikačných serverov, ako sú EM služby, adresár a MIDlet počas vytvárania HTTPS pomocou TVS

Cisco CTL

Overenie zariadenia, súboru a signalizácie závisí od vytvorenia súboru zoznamu dôveryhodných certifikátov (CTL), ktorý sa vytvorí, keď partner alebo zákazník nainštaluje a nakonfiguruje klienta zoznamu dôveryhodných certifikátov Cisco.

Súbor CTL obsahuje položky pre nasledujúce servery alebo bezpečnostné tokeny:

  • Token zabezpečenia správcu systému (SAST)

  • Služby Cisco CallManager a Cisco TFTP, ktoré sú spustené na rovnakom serveri

  • Funkcia proxy certifikačnej autority (CAPF)

  • TFTP servery

  • ASA firewall

Súbor CTL obsahuje certifikát servera, verejný kľúč, sériové číslo, podpis, názov vydavateľa, názov subjektu, funkciu servera, názov DNS a adresu IP pre každý server.

Zabezpečenie telefónu pomocou CTL poskytuje nasledujúce funkcie:

  • Autentifikácia TFTP stiahnutých súborov (konfigurácia, miestne nastavenie, zoznam zvonení atď.) pomocou podpisového kľúča

  • Šifrovanie konfiguračných súborov TFTP pomocou podpisového kľúča

  • Šifrovaná signalizácia hovoru pre IP telefóny

  • Šifrovaný zvuk hovoru (médiá) pre IP telefóny

Zabezpečenie pre IP telefóny Cisco vo vyhradenej inštancii

Vyhradená inštancia poskytuje registráciu koncových bodov a spracovanie hovorov. Signalizácia medzi Cisco Unified CM a koncovými bodmi je založená na protokole Secure Skinny Client Control Protocol (SCCP) alebo Session Initiation Protocol (SIP) a môže byť šifrovaná pomocou Transport Layer Security (TLS). Médiá z/do koncových bodov sú založené na protokole Real-time Transport Protocol (RTP) a môžu byť tiež šifrované pomocou Secure RTP (SRTP).

Povolenie zmiešaného režimu na Unified CM umožňuje šifrovanie signalizácie a mediálneho prenosu z a do koncových bodov Cisco.

Bezpečné aplikácie UC

Povolenie zmiešaného režimu vo vyhradenej inštancii

Zmiešaný režim je predvolene povolený vo vyhradenej inštancii.

Povolenie zmiešaného režimu vo vyhradenej inštancii umožňuje vykonávať šifrovanie signalizácie a mediálneho prenosu z a do koncových bodov Cisco.

Vo vydaní Cisco Unified CM 12.5(1) bola pre klientov Jabber a Webex pridaná nová možnosť povoliť šifrovanie signalizácie a médií na základe SIP OAuth namiesto zmiešaného režimu / CTL. Preto vo verzii Unified CM 12.5(1) možno použiť SIP OAuth a SRTP na umožnenie šifrovania pre signalizáciu a médiá pre klientov Jabber alebo Webex. V súčasnosti je pre telefóny Cisco IP a ďalšie koncové body Cisco naďalej potrebné povoliť zmiešaný režim. V budúcom vydaní sa plánuje pridať podporu pre SIP OAuth v koncových bodoch 7800/8800.

Zabezpečenie hlasových správ

Cisco Unity Connection sa pripája k Unified CM cez port TLS. Keď je režim zabezpečenia zariadenia nezabezpečený, Cisco Unity Connection sa pripojí k Unified CM cez port SCCP.

Ak chcete nakonfigurovať zabezpečenie pre porty hlasových správ Unified CM a zariadenia Cisco Unity, ktoré používajú SCCP alebo zariadenia Cisco Unity Connection, ktoré používajú SCCP, partner si môže vybrať režim zabezpečenia zariadenia pre port. Ak vyberiete overený port hlasovej schránky, otvorí sa pripojenie TLS, ktoré overí zariadenia pomocou vzájomnej výmeny certifikátov (každé zariadenie akceptuje certifikát druhého zariadenia). Ak zvolíte šifrovaný port hlasovej schránky, systém najprv overí zariadenia a potom medzi zariadeniami odošle šifrované hlasové toky.

Ďalšie informácie o portoch zabezpečenia hlasových správ nájdete v časti: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zabezpečenie pre SRST, kufre, brány, CUBE/SBC

Brána s podporou Cisco Unified Survivable Remote Site Telephony (SRST) poskytuje obmedzené úlohy spracovania hovorov, ak Cisco Unified CM vo vyhradenej inštancii nemôže uskutočniť hovor.

Bezpečné brány s podporou SRST obsahujú certifikát s vlastným podpisom. Keď partner vykoná úlohy konfigurácie SRST v správe Unified CM, Unified CM použije pripojenie TLS na autentifikáciu so službou Certificate Provider v bráne s povoleným SRST. Unified CM potom načíta certifikát z brány s povoleným SRST a pridá certifikát do databázy Unified CM.

Keď partner resetuje závislé zariadenia v Zjednotenej správe CM, server TFTP pridá certifikát brány s povoleným SRST do súboru cnf.xml telefónu a odošle súbor do telefónu. Zabezpečený telefón potom používa pripojenie TLS na interakciu s bránou s povoleným SRST.

Pre odchádzajúce hovory PSTN alebo prechádzajúce cez prvok Cisco Unified Border Element (CUBE) sa odporúča mať zabezpečené spojky pre hovor pochádzajúci z Cisco Unified CM do brány.

SIP trunky môžu podporovať bezpečné volania ako pre signalizáciu, tak aj pre médiá; TLS poskytuje šifrovanie signalizácie a SRTP poskytuje šifrovanie médií.

Zabezpečenie komunikácie medzi Cisco Unified CM a CUBE

Na zabezpečenú komunikáciu medzi Cisco Unified CM a CUBE musia partneri/zákazníci používať certifikát s vlastným podpisom alebo certifikáty podpísané CA.

Pre certifikáty s vlastným podpisom:

  1. CUBE a Cisco Unified CM generujú certifikáty s vlastným podpisom

  2. CUBE exportuje certifikát do Cisco Unified CM

  3. Cisco Unified CM exportuje certifikát do CUBE

Pre certifikáty podpísané CA:

  1. Klient vygeneruje pár kľúčov a odošle žiadosť o podpis certifikátu (CSR) certifikačnej autorite (CA).

  2. CA ho podpíše svojím súkromným kľúčom, čím vytvorí certifikát totožnosti

  3. Klient nainštaluje zoznam dôveryhodných koreňových a sprostredkovateľských certifikátov CA a Certifikát identity

Zabezpečenie pre vzdialené koncové body

S koncovými bodmi mobilného a vzdialeného prístupu (MRA) je signalizácia a médiá medzi koncovými bodmi MRA a uzlami Expressway vždy šifrované. Ak sa pre koncové body MRA používa protokol Interactive Connectivity Establishment (ICE), vyžaduje sa signalizácia a šifrovanie médií koncových bodov MRA. Šifrovanie signalizácie a médií medzi Expressway-C a internými servermi Unified CM, internými koncovými bodmi alebo inými internými zariadeniami však vyžaduje zmiešaný režim alebo SIP OAuth.

Cisco Expressway poskytuje bezpečný prechod cez firewall a podporu na strane linky pre Unified CM registrácie. Unified CM poskytuje riadenie hovorov pre mobilné aj lokálne koncové body. Signalizácia prechádza riešením Expressway medzi vzdialeným koncovým bodom a Unified CM. Médiá prechádzajú cez riešenie Expressway a sú prenášané medzi koncovými bodmi priamo. Všetky médiá sú medzi Expressway-C a mobilným koncovým bodom šifrované.

Akékoľvek riešenie MRA vyžaduje Expressway a Unified CM s mäkkými klientmi a/alebo pevnými koncovými bodmi kompatibilnými s MRA. Riešenie môže voliteľne zahŕňať IM a Presence Service a Unity Connection.

Zhrnutie protokolu

Nasledujúca tabuľka zobrazuje protokoly a súvisiace služby používané v riešení Unified CM.

Tabuľka č. 1 Protokoly a súvisiace služby

Protokol

Zabezpečenie

servis

SIP

TLS

Zriadenie relácie: Zaregistrujte sa, pozvite atď.

HTTPS

TLS

Prihlásenie, poskytovanie/konfigurácia, adresár, vizuálna hlasová schránka

Médiá

SRTP

Médiá: Zvuk, video, zdieľanie obsahu

XMPP

TLS

Okamžité správy, prítomnosť, federácia

Viac informácií o konfigurácii MRA nájdete na: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Možnosti konfigurácie

Vyhradená inštancia poskytuje partnerovi flexibilitu na prispôsobenie služieb pre koncových používateľov prostredníctvom úplnej kontroly nad konfiguráciami druhého dňa. V dôsledku toho je partner výlučne zodpovedný za správnu konfiguráciu služby vyhradenej inštancie pre prostredie koncového používateľa. To zahŕňa, ale nie výlučne:

  • Výber zabezpečených/nezabezpečených hovorov, zabezpečených/nezabezpečených protokolov, ako sú SIP/sSIP, http/https atď., a pochopenie všetkých súvisiacich rizík.

  • Pre všetky MAC adresy, ktoré nie sú nakonfigurované ako bezpečné SIP vo vyhradenej inštancii, môže útočník poslať správu SIP Register pomocou tejto MAC adresy a bude môcť uskutočňovať SIP hovory, čo vedie k podvodom s mýtom. Výhodou je, že útočník môže zaregistrovať svoje zariadenie/softvér SIP do vyhradenej inštancie bez autorizácie, ak pozná MAC adresu zariadenia zaregistrovaného vo vyhradenej inštancii.

  • Pravidlá hovorov Expressway-E, pravidlá transformácie a vyhľadávania by sa mali nakonfigurovať tak, aby sa zabránilo podvodom s mýtom. Ďalšie informácie o predchádzaní podvodom s mýtom pomocou rýchlostných ciest nájdete v sekcii Zabezpečenie pre rýchlostnú cestu C a rýchlostnú cestu-E v článku Collaboration SRND.

  • Konfigurácia plánu vytáčania, aby sa zabezpečilo, že používatelia môžu vytáčať iba povolené ciele, napr. zakázať vnútroštátne/medzinárodné vytáčanie, správne smerovať tiesňové volania atď. Ďalšie informácie o uplatňovaní obmedzení pomocou plánu vytáčania nájdete v sekcii Telefonický plán v SRND pre spoluprácu.

Požiadavky na certifikát pre zabezpečené pripojenia vo vyhradenej inštancii

V prípade vyhradenej inštancie spoločnosť Cisco poskytne doménu a podpíše všetky certifikáty pre aplikácie UC pomocou verejnej certifikačnej autority (CA).

Vyhradená inštancia – čísla portov a protokoly

Nasledujúce tabuľky popisujú porty a protokoly, ktoré sú podporované vo vyhradenej inštancii. Porty, ktoré sa používajú pre daného zákazníka, závisia od nasadenia a riešenia zákazníka. Protokoly závisia od preferencií zákazníka (SCCP vs SIP), existujúcich lokálnych zariadení a akej úrovne zabezpečenia na určenie, ktoré porty sa majú použiť v každom nasadení.

Vyhradená inštancia neumožňuje preklad sieťových adries (NAT) medzi koncovými bodmi a Unified CM, pretože niektoré funkcie toku hovorov nebudú fungovať, napríklad funkcia uprostred hovoru.

Vyhradená inštancia – Zákaznícke porty

Porty dostupné pre zákazníkov – medzi lokálnym zákazníkom a vyhradenou inštanciou sú uvedené v tabuľke 1 Zákaznícke porty vyhradenej inštancie. Všetky porty uvedené nižšie sú pre zákaznícky prenos prechádzajúci cez peeringové prepojenia.

Port SNMP je predvolene otvorený iba pre službu Cisco Emergency Responder, aby podporovala jeho funkčnosť. Keďže nepodporujeme partnerov ani zákazníkov, ktorí monitorujú aplikácie UC nasadené v cloude Dedicated Instance, nepovoľujeme otvorenie portu SNMP pre žiadne iné aplikácie UC.

Porty v rozsahu 5063 až 5080 sú spoločnosťou Cisco rezervované pre iné cloudové integrácie. Správcom partnerov alebo zákazníkov sa odporúča, aby tieto porty nepoužívali vo svojich konfiguráciách.

Tabuľka 2 Vyhradené zákaznícke porty inštancie

Protokol

TCP/UDP

Zdroj

Cieľ

Zdrojový port

Cieľový prístav

Účel

SSH

TCP

Klient

aplikácie UC

Nie je povolené pre aplikácie Cisco Expressway.

Viac ako 1023

22

Správa

TFTP

UDP

Koncový bod

Unified CM

Viac ako 1023

69

Podpora starších koncových bodov

LDAP

TCP

aplikácie UC

Externý adresár

Viac ako 1023

389

Synchronizácia adresára so zákazníckym LDAP

HTTPS

TCP

Prehliadač

aplikácie UC

Viac ako 1023

443

Webový prístup pre samoobslužné a administratívne rozhrania

Odchádzajúca pošta (ZABEZPEČENÁ)

TCP

Aplikácia UC

CUCxn

Viac ako 1023

587

Používa sa na vytváranie a odosielanie zabezpečených správ akýmkoľvek určeným príjemcom

LDAP (ZABEZPEČENÉ)

TCP

aplikácie UC

Externý adresár

Viac ako 1023

636

Synchronizácia adresára so zákazníckym LDAP

H323

TCP

Brána

Unified CM

Viac ako 1023

1720

Signalizácia hovoru

H323

TCP

Unified CM

Unified CM

Viac ako 1023

1720

Signalizácia hovoru

SCCP

TCP

Koncový bod

Zjednotený CM, CUCxn

Viac ako 1023

2000

Signalizácia hovoru

SCCP

TCP

Unified CM

Unified CM, Gateway

Viac ako 1023

2000

Signalizácia hovoru

MGCP

UDP

Brána

Brána

Viac ako 1023

2427

Signalizácia hovoru

MGCP Backhaul

TCP

Brána

Unified CM

Viac ako 1023

2428

Signalizácia hovoru

SCCP (ZABEZPEČENÉ)

TCP

Koncový bod

Zjednotený CM, CUCxn

Viac ako 1023

2443

Signalizácia hovoru

SCCP (ZABEZPEČENÉ)

TCP

Unified CM

Unified CM, Gateway

Viac ako 1023

2443

Signalizácia hovoru

Overenie dôvery

TCP

Koncový bod

Unified CM

Viac ako 1023

2445

Poskytovanie služby overovania dôveryhodnosti koncovým bodom

CTI

TCP

Koncový bod

Unified CM

Viac ako 1023

2748

Spojenie medzi aplikáciami CTI (JTAPI/TSP) a CTIManager

Bezpečné CTI

TCP

Koncový bod

Unified CM

Viac ako 1023

2749

Zabezpečené spojenie medzi aplikáciami CTI (JTAPI/TSP) a CTIManager

Globálny katalóg LDAP

TCP

Aplikácie UC

Externý adresár

Viac ako 1023

3268

Synchronizácia adresára so zákazníckym LDAP

Globálny katalóg LDAP

TCP

Aplikácie UC

Externý adresár

Viac ako 1023

3269

Synchronizácia adresára so zákazníckym LDAP

Služba CAPF

TCP

Koncový bod

Unified CM

Viac ako 1023

3804

Port počúvania funkcie proxy certifikačnej autority (CAPF) na vydávanie lokálne významných certifikátov (LSC) do IP telefónov

SIP

TCP

Koncový bod

Zjednotený CM, CUCxn

Viac ako 1023

5060

Signalizácia hovoru

SIP

TCP

Unified CM

Unified CM, Gateway

Viac ako 1023

5060

Signalizácia hovoru

SIP (ZABEZPEČENÉ)

TCP

Koncový bod

Unified CM

Viac ako 1023

5061

Signalizácia hovoru

SIP (ZABEZPEČENÉ)

TCP

Unified CM

Unified CM, Gateway

Viac ako 1023

5061

Signalizácia hovoru

SIP (OAUTH)

TCP

Koncový bod

Unified CM

Viac ako 1023

5090

Signalizácia hovoru

XMPP

TCP

Klient Jabber

Cisco IM&P

Viac ako 1023

5222

Okamžité správy a prítomnosť

HTTP

TCP

Koncový bod

Unified CM

Viac ako 1023

6970

Sťahovanie konfigurácie a obrázkov do koncových bodov

HTTPS

TCP

Koncový bod

Unified CM

Viac ako 1023

6971

Sťahovanie konfigurácie a obrázkov do koncových bodov

HTTPS

TCP

Koncový bod

Unified CM

Viac ako 1023

6972

Sťahovanie konfigurácie a obrázkov do koncových bodov

HTTP

TCP

Klient Jabber

CUCxn

Viac ako 1023

7080

Upozornenia hlasovej schránky

HTTPS

TCP

Klient Jabber

CUCxn

Viac ako 1023

7443

Bezpečné upozornenia hlasovej schránky

HTTPS

TCP

Unified CM

Unified CM

Viac ako 1023

7501

Používa ho služba Intercluster Lookup Service (ILS) na overenie založené na certifikátoch

HTTPS

TCP

Unified CM

Unified CM

Viac ako 1023

7502

Používa ILS na autentifikáciu na základe hesla

IMAP

TCP

Klient Jabber

CUCxn

Viac ako 1023

7993

IMAP cez TLS

HTTP

TCP

Koncový bod

Unified CM

Viac ako 1023

8080

Adresár URI pre podporu starších koncových bodov

HTTPS

TCP

Prehliadač, koncový bod

aplikácie UC

Viac ako 1023

8443

Webový prístup pre samoobslužné a administratívne rozhrania, UDS

HTTPS

TCP

Telefón

Unified CM

Viac ako 1023

9443

Overené vyhľadávanie kontaktov

HTTPs

TCP

Koncový bod

Unified CM

Viac ako 1023

9444

Funkcia správy slúchadiel

Bezpečné RTP/SRTP

UDP

Unified CM

Telefón

16384 až 32767 *

16384 až 32767 *

Médiá (audio) – podržaná hudba, oznamovač, softvérový konferenčný most (otvorený na základe signalizácie hovoru)

Bezpečné RTP/SRTP

UDP

Telefón

Unified CM

16384 až 32767 *

16384 až 32767 *

Médiá (audio) – podržaná hudba, oznamovač, softvérový konferenčný most (otvorený na základe signalizácie hovoru)

COBRAS

TCP

Klient

CUCxn

Viac ako 1023

20532

Zálohovanie a obnovenie balíka aplikácií

ICMP

ICMP

Koncový bod

aplikácie UC

n/a

n/a

Ping

ICMP

ICMP

aplikácie UC

Koncový bod

n/a

n/a

Ping

DNS UDP a TCP

DNS forwarder

Vyhradené servery DNS

Viac ako 1023

53

Preposielače DNS v priestoroch zákazníka na servery DNS vyhradenej inštancie. Ďalšie informácie nájdete v časti Požiadavky na DNS .

* V niektorých špeciálnych prípadoch sa môže použiť väčší rozsah.

Vyhradená inštancia – OTT porty

Zákazníci a partneri na nastavenie mobilného a vzdialeného prístupu (MRA) môžu použiť nasledujúci port:

Tabuľka 3. Port pre OTT

Protokol

TCP / UCP

Zdroj

Cieľ

Zdrojový port

Cieľový prístav

Účel

ZABEZPEČENÉ RTP/RTCP

UDP

Rýchlostná cesta C

Klient

Viac ako 1023

36000-59999

Secure Media pre MRA a B2B hovory

Inter-op SIP trunk medzi multitenantom a vyhradenou inštanciou (iba pre zväzok založený na registrácii)

Nasledujúci zoznam portov musí byť povolený na firewalle zákazníka pre spojenie SIP trunku založeného na registrácii medzi multitenantom a vyhradenou inštanciou.

Tabuľka 4. Port pre kmene založené na registrácii

Protokol

TCP / UCP

Zdroj

Cieľ

Zdrojový port

Cieľový prístav

Účel

RTP/RTCP

UDP

Webex Calling Multitenant

Klient

Viac ako 1023

8000-48198

Médiá od Webex Calling Multitenant

Vyhradená inštancia – porty UCCX

Nasledujúci zoznam portov môžu zákazníci a partneri použiť na konfiguráciu UCCX.

Tabuľka 5. Porty Cisco UCCX

Protokol

TCP/UCP

Zdroj

Cieľ

Zdrojový port

Cieľový prístav

Účel

SSH

TCP

Klient

UCCX

Viac ako 1023

22

SFTP a SSH

Informix

TCP

Klient alebo Server

UCCX

Viac ako 1023

1504

Databázový port Contact Center Express

SIP

UDP a TCP

SIP GW alebo MCRP server

UCCX

Viac ako 1023

5065

Komunikácia so vzdialenými uzlami GW a MCRP

XMPP

TCP

Klient

UCCX

Viac ako 1023

5223

Zabezpečené pripojenie XMPP medzi serverom Finesse a vlastnými aplikáciami tretích strán

CVD

TCP

Klient

UCCX

Viac ako 1023

6999

Editor aplikácií CCX

HTTPS

TCP

Klient

UCCX

Viac ako 1023

7443

Bezpečné BOSH spojenie medzi serverom Finesse a desktopom agenta a supervízora pre komunikáciu cez HTTPS

HTTP

TCP

Klient

UCCX

Viac ako 1023

8080

Klienti podávania správ o živých údajoch sa pripájajú k serveru socket.IO

HTTP

TCP

Klient

UCCX

Viac ako 1023

8081

Klientsky prehliadač sa pokúša o prístup k webovému rozhraniu Cisco Unified Intelligence Center

HTTP

TCP

Klient

UCCX

Viac ako 1023

8443

Admin GUI, RTMT, DB prístup cez SOAP

HTTPS

TCP

Klient

UCCX

Viac ako 1023

8444

Webové rozhranie Cisco Unified Intelligence Center

HTTPS

TCP

Prehliadač a klienti REST

UCCX

Viac ako 1023

8445

Bezpečný port pre Finesse

HTTPS

TCP

Klient

UCCX

Viac ako 1023

8447

HTTPS – online pomoc centra Unified Intelligence Center

HTTPS

TCP

Klient

UCCX

Viac ako 1023

8553

Komponenty jednotného prihlásenia (SSO) pristupujú k tomuto rozhraniu, aby zistili prevádzkový stav Cisco IdS.

HTTP

TCP

Klient

UCCX

Viac ako 1023

9080

Klienti, ktorí sa pokúšajú získať prístup k spúšťačom HTTP alebo dokumentom / výzvam / gramatikám / živým údajom.

HTTPS

TCP

Klient

UCCX

Viac ako 1023

9443

Zabezpečený port používaný na odpovedanie klientom pokúšajúcim sa o prístup k spúšťačom HTTPS

TCP

TCP

Klient

UCCX

Viac ako 1023

12014

Toto je port, kde sa môžu klienti hlásení živých údajov pripojiť k serveru socket.IO

TCP

TCP

Klient

UCCX

Viac ako 1023

12015

Toto je port, kde sa môžu klienti hlásení živých údajov pripojiť k serveru socket.IO

CTI

TCP

Klient

UCCX

Viac ako 1023

12028

Klient CTI tretej strany pre CCX

RTP (médiá)

TCP

Koncový bod

UCCX

Viac ako 1023

Viac ako 1023

Port médií sa otvára dynamicky podľa potreby

RTP (médiá)

TCP

Klient

Koncový bod

Viac ako 1023

Viac ako 1023

Port médií sa otvára dynamicky podľa potreby

Bezpečnosť klienta

Zabezpečenie Jabber a Webex pomocou SIP OAuth

Klienti Jabber a Webex sa autentifikujú prostredníctvom tokenu OAuth namiesto lokálne významného certifikátu (LSC), ktorý nevyžaduje aktiváciu funkcie proxy certifikačnej autority (CAPF) (aj pre MRA). SIP OAuth pracujúci so zmiešaným režimom alebo bez neho bol predstavený v Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.

V Cisco Unified CM 12.5 máme novú možnosť v profile zabezpečenia telefónu, ktorá umožňuje šifrovanie bez LSC/CAPF pomocou jediného tokenu Transport Layer Security (TLS) + OAuth v SIP REGISTER. Uzly Expressway-C používajú rozhranie Administrative XML Web Service (AXL) na informovanie Cisco Unified CM o SN/SAN vo svojom certifikáte. Cisco Unified CM používa tieto informácie na overenie certifikátu Exp-C pri vytváraní vzájomného pripojenia TLS.

SIP OAuth umožňuje šifrovanie médií a signalizácie bez certifikátu koncového bodu (LSC).

Cisco Jabber používa dočasné porty a zabezpečené porty 6971 a 6972 prostredníctvom pripojenia HTTPS k serveru TFTP na stiahnutie konfiguračných súborov. Port 6970 je nezabezpečený port na sťahovanie cez HTTP.

Viac podrobností o konfigurácii SIP OAuth: Režim SIP OAuth.

DNS požiadavky

Pre vyhradenú inštanciu Cisco poskytuje FQDN pre službu v každom regióne v nasledujúcom formáte ..wxc-di.webex.com , napríklad, xyz.amer.wxc- di.webex.com.

Hodnotu „zákazníka“ poskytuje správca ako súčasť Sprievodcu prvým nastavením (FTSW). Ďalšie informácie nájdete v časti Aktivácia služby vyhradenej inštancie.

Záznamy DNS pre tento FQDN musia byť rozlíšiteľné z interného servera DNS zákazníka, aby podporovali lokálne zariadenia pripájajúce sa k vyhradenej inštancii. Na uľahčenie rozlíšenia musí zákazník nakonfigurovať podmienený preposielač pre tento FQDN na svojom serveri DNS smerujúci na službu DNS vyhradenej inštancie. Služba DNS vyhradenej inštancie je regionálna a možno ju dosiahnuť prostredníctvom partnerského vzťahu k vyhradenej inštancii pomocou nasledujúcich adries IP, ako je uvedené v tabuľke nižšie Adresa IP služby DNS vyhradenej inštancie.

Tabuľka 6. IP adresa služby DNS vyhradenej inštancie

Región/DC

IP adresa služby DNS vyhradenej inštancie

Príklad podmieneného preposielania

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

HRIECH

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228

Možnosť ping je pre vyššie uvedené adresy IP servera DNS z bezpečnostných dôvodov zakázaná.

Kým nebude zavedené podmienené preposielanie, zariadenia sa nebudú môcť zaregistrovať do Vyhradenej inštancie z internej siete zákazníka prostredníctvom partnerských prepojení. Podmienené preposielanie sa nevyžaduje pri registrácii prostredníctvom mobilného a vzdialeného prístupu (MRA), pretože všetky požadované externé záznamy DNS na uľahčenie MRA budú vopred poskytnuté spoločnosťou Cisco.

Keď používate aplikáciu Webex ako svojho volajúceho mäkkého klienta vo vyhradenej inštancii, v Control Hub je potrebné nakonfigurovať profil UC Manager pre doménu hlasových služieb (VSD) každého regiónu. Ďalšie informácie nájdete v časti Profily správcu UC v Cisco Webex Control Hub. Aplikácia Webex bude schopná automaticky vyriešiť zákazníkovu Expressway Edge bez akéhokoľvek zásahu koncového používateľa.

Doména hlasovej služby bude zákazníkovi poskytnutá ako súčasť partnerského prístupového dokumentu po dokončení aktivácie služby.

Na rozlíšenie DNS telefónu použite lokálny smerovač

V prípade telefónov, ktoré nemajú prístup k podnikovým serverom DNS, je možné použiť lokálny smerovač Cisco na presmerovanie požiadaviek DNS na cloud DNS vyhradenej inštancie. To odstraňuje potrebu nasadenia lokálneho servera DNS a poskytuje plnú podporu DNS vrátane ukladania do vyrovnávacej pamäte.

Príklad konfigurácie :

!

ip dns server

ip name-server

!

Použitie DNS v tomto modeli nasadenia je špecifické pre telefóny a možno ho použiť iba na riešenie FQDN s doménou z vyhradenej inštancie zákazníkov.

Rozlíšenie DNS telefónu