Omrežne zahteve za namensko različico

Webex Calling Dedicated Instance je del portfelja Cisco Cloud Calling, ki ga poganja tehnologija za sodelovanje Cisco Unified Communications Manager (Cisco Unified CM). Namenska različica ponuja rešitve za glas, video, sporočanje in mobilnost s funkcijami in prednostmi Ciscovih telefonov IP, mobilnih naprav in namiznih odjemalcev, ki se varno povežejo z namensko različico.

Ta članek je namenjen skrbnikom omrežja, zlasti skrbnikom požarnega zidu in varnostnega posredniškega strežnika, ki želijo v svoji organizaciji uporabljati namensko različico.

Varnostni pregled: Varnost v plasteh

Dedicated Instance uporablja večplastni pristop za varnost. Sloje vključujejo:

  • Fizični dostop

  • Omrežje

  • Končne točke

  • Aplikacije UC

V naslednjih razdelkih so opisane varnostne plasti v namestitvah namenskih različic.

Fizična varnost

Pomembno je zagotoviti fizično varnost lokacij Equinix Meet-Me Room in objektov podatkovnega centra Cisco Dedicated Instance Data Center. Če je ogrožena fizična varnost, se lahko sprožijo preprosti napadi, kot je prekinitev storitev z izklopom napajanja stikal stranke. S fizičnim dostopom lahko napadalci pridobijo dostop do strežniških naprav, ponastavijo gesla in dostopajo do stikal. Fizični dostop omogoča tudi bolj zapletene napade, kot so napadi tipa man-in-the-middle, zato je druga varnostna plast, varnost omrežja, ključnega pomena.

Samokriptirajoči diski se uporabljajo v podatkovnih centrih z namenskimi instancami, ki gostijo aplikacije UC.

Več informacij o splošnih varnostnih praksah najdete v dokumentaciji na naslednjem mestu: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Varnost omrežja

Partnerji morajo zagotoviti, da so vsi omrežni elementi zavarovani v infrastrukturi namenske instance (ki se povezuje prek Equinixa). Partner je odgovoren za zagotavljanje najboljših varnostnih praks, kot so:

  • Ločeno omrežje VLAN za govor in podatke

  • Omogočite funkcijo Port Security, ki omejuje število dovoljenih naslovov MAC na vrata in preprečuje poplavljanje tabele CAM.

  • IP Source Guard pred lažnimi naslovi IP

  • Dinamični pregled ARP (DAI) preverja kršitve protokola za razreševanje naslovov (ARP) in brezplačnega ARP (GARP) (proti podtikanju ARP).

  • 802.1x omejuje dostop do omrežja na avtentikacijo naprav v dodeljenih VLAN-ih (telefoni podpirajo 802.1x)

  • konfiguracija kakovosti storitev (QoS) za ustrezno označevanje govornih paketov

  • Konfiguracije vrat požarnega zidu za blokiranje drugega prometa

Varnost končnih točk

Ciscove končne točke podpirajo privzete varnostne funkcije, kot so podpisana vdelana programska oprema, varen zagon (izbrani modeli), certifikat proizvajalca (MIC) in podpisane konfiguracijske datoteke, ki končnim točkam zagotavljajo določeno raven varnosti.

Poleg tega lahko partner ali stranka omogoči dodatno varnost, kot so:

  • Šifriranje storitev telefona IP (prek protokola HTTPS) za storitve, kot je Extension Mobility.

  • izdajanje lokalno pomembnih potrdil (LSC) iz funkcije pooblaščenca overitelja (CAPF) ali javnega overitelja potrdil (CA).

  • Šifriranje konfiguracijskih datotek

  • Šifriranje medijev in signalizacije

  • Če teh nastavitev ne uporabljate, jih onemogočite: Vrata za osebni računalnik, dostop do glasovne VLAN, brezplačni ARP, spletni dostop, gumb za nastavitve, SSH, konzola

Izvajanje varnostnih mehanizmov v namenski različici preprečuje krajo identitete telefonov in strežnika Unified CM, prirejanje podatkov in prirejanje signalizacije klicev/medijskega toka.

Namenski primerek v omrežju:

  • vzpostavlja in vzdržuje overjene komunikacijske tokove.

  • digitalno podpisovanje datotek pred prenosom datoteke v telefon

  • Šifriranje medijskih tokov in signalizacije klicev med telefoni Cisco Unified IP

Privzeta varnostna nastavitev

Privzeta varnost zagotavlja naslednje samodejne varnostne funkcije za telefone Cisco Unified IP:

  • Podpisovanje konfiguracijskih datotek telefona

  • Podpora za šifriranje konfiguracijske datoteke telefona

  • HTTPS s storitvijo Tomcat in drugimi spletnimi storitvami (MIDleti)

Pri različici Unified CM 8.0 pozneje so te varnostne funkcije privzeto zagotovljene brez zagona odjemalca CTL (Certificate Trust List).

Storitev preverjanja zaupanja

Ker je v omrežju veliko število telefonov, telefoni IP pa imajo omejen pomnilnik, Cisco Unified CM deluje kot oddaljena shramba zaupanja prek storitve preverjanja zaupanja (TVS), tako da shrambe zaupanja certifikatov ni treba namestiti v vsak telefon. Telefoni Cisco IP se za preverjanje obrnejo na strežnik TVS, ker ne morejo preveriti podpisa ali potrdila prek datotek CTL ali ITL. Centralno shrambo zaupanja je lažje upravljati kot shrambo zaupanja v vsakem telefonu Cisco Unified IP.

TVS omogoča telefonom Cisco Unified IP, da med vzpostavitvijo HTTPS preverijo pristnost aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet.

Začetni seznam zaupanja

Datoteka Initial Trust List (ITL) se uporablja za začetno varnost, da lahko končne točke zaupajo sistemu Cisco Unified CM. Za ITL ni treba izrecno omogočiti nobenih varnostnih funkcij. Datoteka ITL se samodejno ustvari ob namestitvi gruče. Zasebni ključ strežnika Unified CM Trivial File Transfer Protocol (TFTP) se uporabi za podpisovanje datoteke ITL.

Ko je gruča ali strežnik Cisco Unified CM v nezavarovanem načinu, se datoteka ITL prenese na vsak podprt telefon Cisco IP. Partner si lahko vsebino datoteke ITL ogleda z ukazom CLI, admin:show itl.

Telefoni Cisco IP potrebujejo datoteko ITL za izvajanje naslednjih nalog:

  • varno komuniciranje s sistemom CAPF, kar je predpogoj za podporo šifriranja konfiguracijske datoteke.

  • Preverjanje pristnosti podpisa konfiguracijske datoteke

  • Preverjanje pristnosti aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet, med vzpostavitvijo HTTPS z uporabo TVS.

Cisco CTL

Preverjanje pristnosti naprav, datotek in signalov temelji na ustvarjanju datoteke CTL (Certificate Trust List), ki se ustvari, ko partner ali stranka namesti in konfigurira Cisco Certificate Trust List Client.

Datoteka CTL vsebuje vnose za naslednje strežnike ali varnostne žetone:

  • Varnostni žeton sistemskega administratorja (SAST)

  • storitve Cisco CallManager in Cisco TFTP, ki se izvajajo v istem strežniku

  • Funkcija posrednika organa za potrjevanje (CAPF)

  • Strežnik(-i) TFTP

  • Požarni zid ASA

Datoteka CTL vsebuje strežniško potrdilo, javni ključ, serijsko številko, podpis, ime izdajatelja, ime subjekta, funkcijo strežnika, ime DNS in naslov IP za vsak strežnik.

Zaščita telefona s funkcijo CTL omogoča naslednje funkcije:

  • Preverjanje pristnosti prenesenih datotek TFTP (konfiguracija, lokalno okolje, obročni seznam itd.) z uporabo podpisnega ključa

  • Šifriranje konfiguracijskih datotek TFTP z uporabo podpisnega ključa

  • Šifrirano signaliziranje klicev za telefone IP

  • Šifriran zvok (medij) klicev za telefone IP

Varnost za telefone Cisco IP v namenski instanci

Namenska različica zagotavlja registracijo končne točke in obdelavo klicev. Signalizacija med Cisco Unified CM in končnimi točkami temelji na protokolu SCCP (Secure Skinny Client Control Protocol) ali SIP (Session Initiation Protocol) in je lahko šifrirana z uporabo protokola TLS (Transport Layer Security). Mediji od končnih točk do končnih točk temeljijo na transportnem protokolu v realnem času (RTP) in so lahko tudi šifrirani z uporabo varnega protokola RTP (SRTP).

Omogočanje mešanega načina v Unified CM omogoča šifriranje signalnega in medijskega prometa od končnih točk Cisco in do njih.

Varne aplikacije UC

Omogočanje mešanega načina v namenski instanci

Mešani način je privzeto omogočen v namenski različici.

Omogočanje mešanega načina v namenski različici omogoča šifriranje signalnega in medijskega prometa iz končnih točk Cisco in do njih.

V izdaji Cisco Unified CM 12.5(1) je bila za odjemalce Jabber in Webex dodana nova možnost za omogočanje šifriranja signalizacije in medijev na podlagi SIP OAuth namesto mešanega načina / CTL. Zato lahko v izdaji 12.5(1) Unified CM uporabite protokola SIP OAuth in SRTP za omogočanje šifriranja signalizacije in medijev za odjemalce Jabber ali Webex. Omogočanje mešanega načina je trenutno še vedno potrebno za telefone Cisco IP in druge končne točke Cisco. V eni od prihodnjih izdaj je načrtovano dodajanje podpore za SIP OAuth v končne točke 7800/8800.

Varnost glasovnih sporočil

Cisco Unity Connection se poveže z Unified CM prek vrat TLS. Ko je način varnosti naprave nezavarovan, se Cisco Unity Connection poveže z Unified CM prek vrat SCCP.

Če želite konfigurirati varnost za vrata za glasovno sporočanje Unified CM in naprave Cisco Unity, ki uporabljajo SCCP, ali naprave Cisco Unity Connection, ki uporabljajo SCCP, lahko partner za vrata izbere varen način varnosti naprave. Če izberete overjena vrata glasovne pošte, se odpre povezava TLS, ki naprave overi z medsebojno izmenjavo potrdil (vsaka naprava sprejme potrdilo druge naprave). Če izberete vrata za šifrirano glasovno pošto, sistem najprej preveri pristnost naprav, nato pa med napravama pošlje šifrirane glasovne tokove.

Za več informacij o vratih za varnostno glasovno sporočanje glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Varnost za SRST, magistralna omrežja, vrata, CUBE/SBC

Cisco Unified Survivable Remote Site Telephony (SRST) omogoča omejene naloge obdelave klicev, če Cisco Unified CM na namenski instanci ne more dokončati klica.

Varni prehodi s podporo SRST vsebujejo samopodpisano potrdilo. Ko partner izvede naloge konfiguracije SRST v programu Unified CM Administration, Unified CM uporabi povezavo TLS za preverjanje pristnosti s storitvijo ponudnika potrdil v prehodu s podporo SRST. Unified CM nato prikliče potrdilo iz prehoda s podporo SRST in ga doda v zbirko podatkov Unified CM.

Ko partner v programu Unified CM Administration ponastavi odvisne naprave, strežnik TFTP doda potrdilo za prehod z omogočenim SRST v datoteko cnf.xml telefona in pošlje datoteko v telefon. Varni telefon nato uporabi povezavo TLS za interakcijo z vratom, ki podpira SRST.

Priporočljivo je, da se za klice, ki izvirajo iz sistema Cisco Unified CM do prehoda za izhodne klice PSTN ali potekajo prek Cisco Unified Border Elementa (CUBE), uporabijo varne povezave.

Trunki SIP lahko podpirajo varne klice za signalizacijo in medije; TLS zagotavlja šifriranje signalizacije, SRTP pa šifriranje medijev.

Varovanje komunikacij med Cisco Unified CM in CUBE

Za varno komunikacijo med Cisco Unified CM in CUBE morajo partnerji/odjemalci uporabljati samopodpisana potrdila ali potrdila, podpisana s strani CA.

Za samopodpisana potrdila:

  1. CUBE in Cisco Unified CM ustvarjata samopodpisana potrdila

  2. CUBE izvozi potrdilo v Cisco Unified CM

  3. Cisco Unified CM izvozi certifikat v CUBE

Za potrdila, podpisana s CA:

  1. Odjemalec ustvari par ključev in pošlje zahtevo za podpis potrdila (CSR) overitelju potrdil (CA).

  2. Overitelj ga podpiše s svojim zasebnim ključem in ustvari potrdilo o identiteti.

  3. Odjemalec namesti seznam zaupanja vrednih korenskih in vmesnih potrdil CA ter potrdilo identitete.

Varnost za oddaljene končne točke

Pri končnih točkah za mobilni in oddaljeni dostop (MRA) sta signalizacija in medij med končnimi točkami MRA in vozlišči Expressway vedno šifrirana. Če se za končne točke MRA uporablja protokol ICE (Interactive Connectivity Establishment), je potrebno šifriranje signalizacije in medijev končnih točk MRA. Za šifriranje signalizacije in medijev med Expressway-C in notranjimi strežniki Unified CM, notranjimi končnimi točkami ali drugimi notranjimi napravami pa je potreben mešani način ali SIP OAuth.

Cisco Expressway zagotavlja varno prečkanje požarnega zidu in linijsko podporo za registracije Unified CM. Unified CM zagotavlja nadzor klicev za mobilne in krajevne končne točke. Signalizacija poteka prek rešitve Expressway med oddaljeno končno točko in Unified CM. Mediji potujejo skozi rešitev Expressway in se neposredno prenašajo med končnimi točkami. Vsi mediji so med omrežjem Expressway-C in mobilno končno točko šifrirani.

Vsaka rešitev MRA zahteva Expressway in Unified CM z mehkimi odjemalci in/ali fiksnimi končnimi točkami, združljivimi z MRA. Rešitev lahko po želji vključuje storitev IM in prisotnost ter povezavo Unity Connection.

Povzetek protokola

Naslednja preglednica prikazuje protokole in povezane storitve, ki se uporabljajo v rešitvi Unified CM.

Tabela 1. Protokoli in povezane storitve

Protokol

Varnost

Storitev

SIP

TLS

Vzpostavitev seje: Registracija, povabilo itd.

HTTPS

TLS

Prijava, zagotavljanje/konfiguracija, imenik, vizualna glasovna pošta

Mediji

SRTP

Mediji: Avdio, video, souporaba vsebine

XMPP

TLS

Takojšnje sporočanje, prisotnost, federacija

Za več informacij o konfiguraciji MRA glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Možnosti konfiguracije

Namenska različica partnerju zagotavlja prilagodljivost za prilagajanje storitev za končne uporabnike s popolnim nadzorom konfiguracij drugega dne. Zato je partner sam odgovoren za pravilno konfiguracijo storitve namenskega primerka za okolje končnega uporabnika. To med drugim vključuje:

  • izbira varnih/nevarnih klicev, varnih/nevarnih protokolov, kot so SIP/sSIP, http/https itd., in razumevanje vseh povezanih tveganj.

  • Za vse naslove MAC, ki v namenski različici niso konfigurirani kot varni SIP, lahko napadalec pošlje sporočilo SIP Register z uporabo tega naslova MAC in opravi klice SIP, kar povzroči goljufijo pri plačilu cestnine. Napadalec lahko svojo napravo/programsko opremo SIP registrira v namenski instanci brez avtorizacije, če pozna naslov MAC naprave, registrirane v namenski instanci.

  • Za preprečevanje goljufij pri cestninjenju je treba konfigurirati politike klicev, preoblikovanje in iskalna pravila Expressway-E. Več informacij o preprečevanju goljufij pri cestninjenju z uporabo hitrih cest najdete v razdelku Varnost za hitri cesti C in Expressway-E v dokumentu Collaboration SRND.

  • Konfiguracija načrta izbiranja, s katero zagotovite, da lahko uporabniki kličejo le dovoljene destinacije, npr. prepoved nacionalnega/mednarodnega izbiranja, pravilno usmerjanje klicev v sili itd. Za več informacij o uporabi omejitev s klicnim načrtom glejte poglavje Klicni načrt v dokumentu Collaboration SRND.

Zahteve za certifikat za varne povezave v namenski instanci

Za namensko različico bo Cisco zagotovil domeno in podpisal vsa potrdila za aplikacije UC z uporabo javnega overitelja potrdil (CA).

Namenski primerek - številke vrat in protokoli

V naslednjih tabelah so opisana vrata in protokoli, ki so podprti v namenski različici. Vrata, ki se uporabljajo za določeno stranko, so odvisna od njene namestitve in rešitve. Protokoli so odvisni od preferenc stranke (SCCP ali SIP), obstoječih lokalnih naprav in stopnje varnosti, ki določajo, katera vrata se bodo uporabljala pri posamezni namestitvi.

Dedicated Instance ne omogoča prevajanja omrežnih naslovov (NAT) med končnimi točkami in Unified CM, saj nekatere funkcije pretoka klicev ne bodo delovale, na primer funkcija sredi klica.

Namenska instanca - vrata za stranke

Vrata, ki so na voljo strankam - med lokalno in namensko različico, so prikazana v preglednici 1 Vrata namenske različice za stranke. Vsa spodaj navedena vrata so namenjena prometu strank, ki prečkajo partnerske povezave.

Vrata SNMP so privzeto odprta samo za Cisco Emergency Responder, ki podpira njegovo funkcionalnost. Ker ne podpiramo partnerjev ali strank, ki spremljajo aplikacije UC, nameščene v oblaku Dedicated Instance, ne dovolimo odpiranja vrat SNMP za druge aplikacije UC.

Vrata v razponu od 5063 do 5080 je Cisco rezerviral za druge integracije v oblaku, zato skrbnikom partnerjev ali strank priporočamo, da teh vrat ne uporabljajo v svojih konfiguracijah.

Preglednica 2. Namenski primerek Vrata za stranke

Protokol

TCP/UDP

Vir

Cilj

Izvorno pristanišče

Vrata destinacije

Namen

SSH

TCP

Stranka

Aplikacije UC

Ni dovoljeno za aplikacije Cisco Expressway.

Več kot 1023

22

Skrbništvo

TFTP

UDP

Končna točka

Unified CM

Več kot 1023

69

Podpora za starejše končne točke

LDAP

TCP

Aplikacije UC

Zunanji imenik

Več kot 1023

389

Sinhronizacija imenika s stranko LDAP

HTTPS

TCP

Brskalnik

Aplikacije UC

Več kot 1023

443

Spletni dostop za samooskrbo in upravne vmesnike

Odhodna pošta (SECURE)

TCP

Aplikacija UC

CUCxn

Več kot 1023

587

Uporablja se za sestavljanje in pošiljanje varnih sporočil določenim prejemnikom.

LDAP (VARNO)

TCP

Aplikacije UC

Zunanji imenik

Več kot 1023

636

Sinhronizacija imenika s stranko LDAP

H323

TCP

Prehod

Unified CM

Več kot 1023

1720

Signalizacija klicev

H323

TCP

Unified CM

Unified CM

Več kot 1023

1720

Signalizacija klicev

SCCP

TCP

Končna točka

Unified CM, CUCxn

Več kot 1023

2000

Signalizacija klicev

SCCP

TCP

Unified CM

Unified CM, Gateway

Več kot 1023

2000

Signalizacija klicev

MGCP

UDP

Prehod

Prehod

Več kot 1023

2427

Signalizacija klicev

Povratna povezava MGCP

TCP

Prehod

Unified CM

Več kot 1023

2428

Signalizacija klicev

SCCP (SECURE)

TCP

Končna točka

Unified CM, CUCxn

Več kot 1023

2443

Signalizacija klicev

SCCP (SECURE)

TCP

Unified CM

Unified CM, Gateway

Več kot 1023

2443

Signalizacija klicev

Preverjanje zaupanja

TCP

Končna točka

Unified CM

Več kot 1023

2445

Zagotavljanje storitve preverjanja zaupanja končnim točkam

CTI

TCP

Končna točka

Unified CM

Več kot 1023

2748

Povezava med aplikacijami CTI (JTAPI/TSP) in programom CTIManager

Varna CTI

TCP

Končna točka

Unified CM

Več kot 1023

2749

Varna povezava med aplikacijami CTI (JTAPI/TSP) in programom CTIManager

Globalni katalog LDAP

TCP

Aplikacije UC

Zunanji imenik

Več kot 1023

3268

Sinhronizacija imenika s stranko LDAP

Globalni katalog LDAP

TCP

Aplikacije UC

Zunanji imenik

Več kot 1023

3269

Sinhronizacija imenika s stranko LDAP

Storitev CAPF

TCP

Končna točka

Unified CM

Več kot 1023

3804

Vrata za poslušanje funkcije posredniškega strežnika overitelja (CAPF) za izdajanje lokalno pomembnih potrdil (LSC) telefonom IP

SIP

TCP

Končna točka

Unified CM, CUCxn

Več kot 1023

5060

Signalizacija klicev

SIP

TCP

Unified CM

Unified CM, Gateway

Več kot 1023

5060

Signalizacija klicev

SIP (VARNO)

TCP

Končna točka

Unified CM

Več kot 1023

5061

Signalizacija klicev

SIP (VARNO)

TCP

Unified CM

Unified CM, Gateway

Več kot 1023

5061

Signalizacija klicev

SIP (OAUTH)

TCP

Končna točka

Unified CM

Več kot 1023

5090

Signalizacija klicev

XMPP

TCP

Odjemalec Jabber

Cisco IM&P

Več kot 1023

5222

Takojšnje sporočanje in prisotnost

HTTP

TCP

Končna točka

Unified CM

Več kot 1023

6970

Prenos konfiguracije in slik v končne točke

HTTPS

TCP

Končna točka

Unified CM

Več kot 1023

6971

Prenos konfiguracije in slik v končne točke

HTTPS

TCP

Končna točka

Unified CM

Več kot 1023

6972

Prenos konfiguracije in slik v končne točke

HTTP

TCP

Odjemalec Jabber

CUCxn

Več kot 1023

7080

Obvestila glasovne pošte

HTTPS

TCP

Odjemalec Jabber

CUCxn

Več kot 1023

7443

Varna obvestila o glasovni pošti

HTTPS

TCP

Unified CM

Unified CM

Več kot 1023

7501

Uporablja storitev iskanja med gručami (ILS) za preverjanje pristnosti na podlagi potrdil.

HTTPS

TCP

Unified CM

Unified CM

Več kot 1023

7502

Uporablja ILS za preverjanje pristnosti na podlagi gesla

IMAP

TCP

Odjemalec Jabber

CUCxn

Več kot 1023

7993

IMAP prek TLS

HTTP

TCP

Končna točka

Unified CM

Več kot 1023

8080

URI imenika za podporo starejših končnih točk

HTTPS

TCP

Brskalnik, končna točka

Aplikacije UC

Več kot 1023

8443

Spletni dostop za samooskrbo in upravne vmesnike, UDS

HTTPS

TCP

Telefon

Unified CM

Več kot 1023

9443

Iskanje overjenih stikov

HTTP-ji

TCP

Končna točka

Unified CM

Več kot 1023

9444

Funkcija upravljanja slušalk

Varen RTP/SRTP

UDP

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Mediji (zvok) - glasba na čakanju, napovednik, programski konferenčni most (odprt na podlagi signalizacije klica)

Varen RTP/SRTP

UDP

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Mediji (zvok) - glasba na čakanju, napovednik, programski konferenčni most (odprt na podlagi signalizacije klica)

COBRAS

TCP

Stranka

CUCxn

Več kot 1023

20532

Varnostno kopiranje in obnavljanje paketa aplikacij

ICMP

ICMP

Končna točka

Aplikacije UC

ni na voljo

ni na voljo

Ping

ICMP

ICMP

Aplikacije UC

Končna točka

ni na voljo

ni na voljo

Ping

DNS UDP in TCP

posredovalnik DNS

Namenski strežniki DNS za instance

Več kot 1023

53

posredniki DNS v prostorih stranke do namenskih strežnikov DNS. Za več informacij glejte Zahteve DNS .

* V nekaterih posebnih primerih se lahko uporabi večji razpon.

Namenska instanca - pristanišča OTT

Stranke in partnerji lahko za nastavitev mobilnega in oddaljenega dostopa (MRA) uporabijo naslednja vrata:

Preglednica 3. Pristanišče za OTT

Protokol

TCP / UCP

Vir

Cilj

Izvorno pristanišče

Vrata destinacije

Namen

VARNO RTP/RTCP

UDP

Hitra cesta C

Stranka

Več kot 1023

36000-59999

Varni mediji za klice MRA in B2B

Medopravilni trunk SIP med večnamenskim uporabnikom in namensko instanco (samo za trunk, ki temelji na registraciji)

V požarnem zidu stranke je treba dovoliti naslednji seznam vrat za povezovanje magistralnega omrežja SIP, ki temelji na registraciji, med večpredstavnostno in namensko različico.

Preglednica 4. Pristanišče za magistralne povezave na podlagi registracije

Protokol

TCP / UCP

Vir

Cilj

Izvorno pristanišče

Vrata destinacije

Namen

RTP/RTCP

UDP

Večstransko klicanje Webex

Stranka

Več kot 1023

8000-48198

Mediji iz storitve Webex Calling Multitenant

Namenska instanca - vrata UCCX

Stranke in partnerji lahko za konfiguriranje UCCX uporabijo naslednji seznam vrat.

Preglednica 5. Vrata Cisco UCCX

Protokol

TCP/UCP

Vir

Cilj

Izvorno pristanišče

Vrata destinacije

Namen

SSH

TCP

Stranka

UCCX

Več kot 1023

22

SFTP in SSH

Informix

TCP

Odjemalec ali strežnik

UCCX

Več kot 1023

1504

Vrata podatkovne baze Contact Center Express

SIP

UDP in TCP

strežnik SIP GW ali MCRP

UCCX

Več kot 1023

5065

Komunikacija z oddaljenimi vozlišči GW in MCRP

XMPP

TCP

Stranka

UCCX

Več kot 1023

5223

Varna povezava XMPP med strežnikom Finesse in aplikacijami tretjih oseb po meri

CVD

TCP

Stranka

UCCX

Več kot 1023

6999

Urejevalnik aplikacij CCX

HTTPS

TCP

Stranka

UCCX

Več kot 1023

7443

Varna povezava BOSH med strežnikom Finesse ter namizji agenta in nadzornika za komunikacijo prek HTTPS

HTTP

TCP

Stranka

UCCX

Več kot 1023

8080

Odjemalci za poročanje podatkov v živo se povežejo s strežnikom socket.IO

HTTP

TCP

Stranka

UCCX

Več kot 1023

8081

Odjemalski brskalnik poskuša dostopati do spletnega vmesnika Cisco Unified Intelligence Center

HTTP

TCP

Stranka

UCCX

Več kot 1023

8443

Grafični vmesnik upravitelja, RTMT, dostop do DB prek protokola SOAP

HTTPS

TCP

Stranka

UCCX

Več kot 1023

8444

Spletni vmesnik Cisco Unified Intelligence Center

HTTPS

TCP

Brskalnik in odjemalci REST

UCCX

Več kot 1023

8445

Varno pristanišče za Finesse

HTTPS

TCP

Stranka

UCCX

Več kot 1023

8447

HTTPS - Spletna pomoč Unified Intelligence Center

HTTPS

TCP

Stranka

UCCX

Več kot 1023

8553

Komponente za enotno prijavo (SSO) dostopajo do tega vmesnika, da se seznanijo s stanjem delovanja sistema Cisco IdS.

HTTP

TCP

Stranka

UCCX

Več kot 1023

9080

Odjemalci poskušajo dostopati do sprožilcev HTTP ali dokumentov / pozivov / gramatik / podatkov v živo.

HTTPS

TCP

Stranka

UCCX

Več kot 1023

9443

Varna vrata, ki se uporabljajo za odzivanje na odjemalce, ki poskušajo dostopati do sprožilcev HTTPS

TCP

TCP

Stranka

UCCX

Več kot 1023

12014

To so vrata, prek katerih se lahko odjemalci za poročanje podatkov v živo povežejo s strežnikom socket.IO.

TCP

TCP

Stranka

UCCX

Več kot 1023

12015

To so vrata, prek katerih se lahko odjemalci za poročanje podatkov v živo povežejo s strežnikom socket.IO.

CTI

TCP

Stranka

UCCX

Več kot 1023

12028

Odjemalec CTI tretje osebe v CCX

RTP(Mediji)

TCP

Končna točka

UCCX

Več kot 1023

Več kot 1023

Medijska vrata se po potrebi dinamično odprejo

RTP(Mediji)

TCP

Stranka

Končna točka

Več kot 1023

Več kot 1023

Medijska vrata se po potrebi dinamično odprejo

Varnost strank

Varovanje Jabberja in Webexa s protokolom SIP OAuth

Odjemalci Jabber in Webex se namesto z lokalno pomembnim potrdilom (LSC) avtentificirajo z žetonom OAuth, zato ni potrebna vključitev funkcije posredovanja organa za potrdila (CAPF) (tudi za MRA). V programih Cisco Unified CM 12.5(1), Jabber 12.5 in Expressway X12.5 je bilo uvedeno delovanje SIP OAuth z mešanim načinom ali brez njega.

V programu Cisco Unified CM 12.5 imamo novo možnost v varnostnem profilu telefona, ki omogoča šifriranje brez LSC/CAPF z uporabo enega samega žetona TLS (Transport Layer Security) + OAuth v SIP REGISTER. Vozlišča Expressway-C uporabljajo vmesnik API upravne spletne storitve XML (AXL), da Cisco Unified CM obvesti o SN/SAN v svojem potrdilu. Cisco Unified CM te informacije uporabi za potrditev potrdila Exp-C pri vzpostavljanju vzajemne povezave TLS.

SIP OAuth omogoča šifriranje medijev in signalov brez potrdila končne točke (LSC).

Cisco Jabber za prenos konfiguracijskih datotek uporablja efemerna vrata ter varna vrata 6971 in 6972 prek povezave HTTPS s strežnikom TFTP. Pristanišče 6970 je nezavarovano pristanišče za prenos prek protokola HTTP.

Več podrobnosti o konfiguraciji SIP OAuth: Način SIP OAuth.

Zahteve DNS

Za namenske instance Cisco zagotavlja FQDN za storitev v vsaki regiji v naslednji obliki ..wxc-di.webex.com na primer xyz.amer.wxc-di.webex.com.

Vrednost "stranka" določi skrbnik kot del čarovnika za prvo nastavitev (FTSW). Za več informacij glejte Dedicated Instance Service Activation.

Zapisi DNS za to FQDN morajo biti razrešljivi iz strankinega notranjega strežnika DNS, da podpirajo lokalne naprave, ki se povezujejo z namensko različico. Da bi olajšali reševanje, mora stranka za to FQDN v svojem strežniku DNS konfigurirati pogojni posrednik, ki kaže na storitev DNS namenske različice. Storitev Dedicated Instance DNS je regionalna in jo je mogoče doseči prek povezave z Dedicated Instance z uporabo naslednjih naslovov IP, kot je navedeno v spodnji preglednici Dedicated Instance DNS Service IP Address.

Preglednica 6. IP naslov namenske instance storitve DNS

Regija/DC

IP naslov namenske instance storitve DNS

Primer pogojnega posredovanja

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

SIN

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228

ZK

<customer>.uk.wxc-di.webex.com

LON

178.215.135.100

MAN

178.215.135.228

Možnost ping je iz varnostnih razlogov onemogočena za zgoraj navedene naslove IP strežnika DNS.

Dokler pogojno posredovanje ne bo vzpostavljeno, se naprave ne bodo mogle registrirati v namenski instanci iz strankinega notranjega omrežja prek povezav za izmenjavo. Pogojno posredovanje ni potrebno za registracijo prek mobilnega in oddaljenega dostopa (MRA), saj bo Cisco vnaprej zagotovil vse potrebne zunanje zapise DNS za omogočanje MRA.

Če aplikacijo Webex uporabljate kot klicni programski odjemalec v namenski različici, je treba v nadzornem vozlišču konfigurirati profil UC Manager za domeno glasovnih storitev (VSD) vsake regije. Za več informacij glejte Profili upravitelja UC v kontrolnem vozlišču Cisco Webex. Aplikacija Webex bo lahko samodejno rešila strankin Expressway Edge brez posredovanja končnega uporabnika.

Domena glasovne storitve bo stranki zagotovljena kot del dokumenta o dostopu partnerja, ko bo aktivacija storitve končana.

Uporaba lokalnega usmerjevalnika za razreševanje DNS v telefonu

Za telefone, ki nimajo dostopa do korporativnih strežnikov DNS, je mogoče uporabiti lokalni usmerjevalnik Cisco za posredovanje zahtevkov DNS v namensko različico DNS v oblaku. Tako ni treba namestiti lokalnega strežnika DNS in je zagotovljena popolna podpora DNS, vključno s predpomnjenjem.

Primer konfiguracije :

!

strežnik ip dns

ip name-server

!

Uporaba DNS v tem modelu namestitve je specifična za telefone in se lahko uporablja samo za razreševanje FQDN z domeno iz strankine namenske instance.

Rešitev DNS telefona