Omrežne zahteve za namenski primerek

Namenski primerek Webex Calling je del portfelja Cisco Cloud Calling, ki ga poganja tehnologija sodelovanja Cisco Unified Communications Manager (Cisco Unified CM). Namenski primerek ponuja glasovne, video, sporočanje in rešitve mobilnosti s funkcijami in prednostmi telefonov Cisco IP, mobilnih naprav in namiznih odjemalcev, ki se varno povežejo z namenskim primerkom.

Ta članek je namenjen skrbnikom omrežja, zlasti skrbnikom požarnega zidu in varnosti proxy, ki želijo uporabiti namenski primerek v svoji organizaciji.

Pregled varnosti: Varnost v slojih

Namenski primerek za varnost uporablja večplasten pristop. Plasti vključujejo:

  • Fizični dostop

  • Omrežje

  • Končne točke

  • Aplikacije UC

V naslednjih razdelkih so opisane plasti varnosti v uvajanjih namenskih primerkov.

Fizična varnost

Pomembno je zagotoviti fizično varnost lokacijah sobe Equinix Meet-Me in zmogljivostim podatkovnega centra Cisco za namenske primerke. Ko je fizična varnost ogrožena, se lahko sprožijo preprosti napadi, kot so motnje storitve z izklopom moči na stikala stranke. S fizičnim dostopom lahko napadalci dobijo dostop do naprav strežnika, ponastavitev gesel in dostop do stikal. Fizični dostop omogoča tudi bolj prefinjene napade, kot so napadi človeka na sredino, zato je druga varnostna plast, varnost omrežja, kritična.

Samošifrirni pogoni se uporabljajo v namenskih podatkovnih središčih primerkov, ki gostijo aplikacije UC.

Za več informacij o splošnih varnostnih praksah si oglejte dokumentacijo na naslednji lokaciji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Varnost omrežja

Partnerji morajo zagotoviti, da so vsi omrežni elementi zavarovani v namenski infrastrukturi primerka (ki se povezuje prek sistema Equinix). Odgovornost partnerja je, da zagotovi najboljše varnostne prakse, kot so:

  • Ločeno omrežje VLAN za glas in podatke

  • Omogoči varnost vrat, ki omejuje število dovoljenih naslovov MAC na vrata, proti poplavam tabele CAM

  • Zaščita vira IP pred zlomljenimi naslovi IP

  • Dinamični pregled ARP (DAI) pregleda protokol za reševanje naslovov (ARP) in brezplačen ARP (GARP) za kršitve (proti spoofing ARP)

  • 802.1x omeji dostop do omrežja za preverjanje pristnosti naprav na dodeljenih omrežjih VLAN (telefoni podpirajo 802.1x)

  • Konfiguracija kakovosti storitve (QoS) za ustrezno označevanje glasovnih paketov

  • Konfiguracije vrat požarnega zidu za blokiranje katerega koli drugega prometa

Varnost končnih točk

Končne točke Cisco podpirajo privzete varnostne funkcije, kot so podpisana vdelana programska oprema, varni zagon (izbrani modeli), potrdilo proizvajalca (MIC) in podpisane konfiguracijske datoteke, ki zagotavljajo določeno raven varnosti za končne točke.

Poleg tega lahko partner ali stranka omogoči dodatno varnost, na primer:

  • Šifriraj telefonske storitve IP (prek HTTPS) za storitve, kot je Extension Mobility

  • Izdaja lokalno pomembna potrdila (LSC) iz funkcije posredniškega organa za potrdila (CAPF) ali javnega organa za potrdila (CA)

  • Šifriraj konfiguracijske datoteke

  • Šifriraj predstavnost in signaliziranje

  • Onemogočite te nastavitve, če niso uporabljene: PC vrata, PC Voice VLAN dostop, brezplačni ARP, spletni dostop, gumb za nastavitve, SSH, konzola

Izvajanje varnostnih mehanizmov v namenskem primerku prepreči krajo identitete telefonov in strežnika Unified CM, nedovoljeno spreminjanje podatkov in nedovoljeno spreminjanje klica/medijskega toka.

Namenski primerek prek omrežja:

  • Vzpostavi in vzdržuje pretoke preverjenih komunikacij

  • Digitalno podpiše datoteke, preden prenesete datoteko na telefon

  • Šifrira pretoke predstavnosti in signaliziranje klicev med telefoni Cisco Unified IP

Privzeta varnostna nastavitev

Varnost privzeto zagotavlja naslednje samodejne varnostne funkcije za telefone Cisco Unified IP:

  • Podpisovanje konfiguracijskih datotek telefona

  • Podpora za šifriranje konfiguracijske datoteke telefona

  • HTTPS z Tomcat in drugimi spletnimi storitvami (MIDlets)

Za izdajo Unified CM 8.0 pozneje so te varnostne funkcije privzeto zagotovljene brez poganjanja odjemalca Seznama zaupanja vrednih potrdil (CTL).

Storitev preverjanja zaupanja

Ker je v omrežju veliko število telefonov in imajo telefoni IP omejen pomnilnik, Cisco Unified CM deluje kot oddaljena shramba zaupanja prek storitve preverjanja zaupanja (TVS), tako da shrambe zaupanja s potrdili ni treba namestiti na vsak telefon. Telefoni Cisco IP stopijo v stik s strežnikom TVS za preverjanje, ker ne morejo preveriti podpisa ali potrdila prek datotek CTL ali ITL. Centralno shrambo zaupanja je lažje upravljati kot shrambo zaupanja na vsakem telefonu Cisco Unified IP.

TVS omogoča telefonom Cisco Unified IP, da med vzpostavitvijo HTTPS preverijo pristnost aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet.

Začetni seznam zaupanja

Datoteka začetnega seznama zaupanja (ITL) se uporablja za začetno varnost, tako da lahko končne točke zaupajo Cisco Unified CM. ITL ne zahteva, da so nobene varnostne funkcije izrecno omogočene. Datoteka ITL se samodejno ustvari, ko je gruča nameščena. Zasebni ključ strežnika za protokol prenosa trivialne datoteke Unified CM (TFTP) se uporablja za podpis datoteke ITL.

Ko je gruča ali strežnik Cisco Unified CM v nevarnem načinu, se datoteka ITL prenese na vsak podprt telefon Cisco IP. Partner si lahko ogleda vsebino datoteke ITL z ukazom CLI, admin:show itl.

Telefoni Cisco IP potrebujejo datoteko ITL za opravljanje naslednjih nalog:

  • Varno komunicirajte s CAPF, predpogoj za podporo šifriranja konfiguracijske datoteke

  • Preveri veljavnost podpisa konfiguracijske datoteke

  • Med vzpostavitvijo HTTPS s pomočjo TVS preverite pristnost aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet

Cisco CTL

Naprava, datoteka in preverjanje pristnosti signaliziranja so odvisni od ustvarjanja datoteke seznama zaupanja vrednih potrdil (CTL), ki je ustvarjena, ko partner ali stranka namesti in konfigurira odjemalca seznama zaupanja vrednih potrdil Cisco.

Datoteka CTL vsebuje vnose za naslednje strežnike ali varnostne žetone:

  • Varnostni žeton skrbnika sistema (SAST)

  • Storitve Cisco CallManager in Cisco TFTP, ki se izvajajo na istem strežniku

  • Funkcija posredniškega strežnika overitelja potrdil (CAPF)

  • Strežnik/-i TFTP

  • Požarni zid ASA

Datoteka CTL vsebuje strežniško potrdilo, javni ključ, serijsko številko, podpis, ime izdajatelja, ime subjekta, funkcijo strežnika, ime DNS in naslov IP za vsak strežnik.

Varnost telefona s CTL zagotavlja naslednje funkcije:

  • Preverjanje pristnosti prenesenih datotek TFTP (konfiguracija, locale, ringlist itd.) s podpisovalnim ključem

  • Šifriranje konfiguracijskih datotek TFTP s podpisovalnim ključem

  • Šifrirano signaliziranje klicev za telefone IP

  • Šifrirani zvok klicev (predstavnost) za telefone IP

Varnost za telefone Cisco IP v namenskem primerku

Namenski primerek zagotavlja registracijo končne točke in obdelavo klicev. Signaliziranje med Cisco Unified CM in končnimi točkami temelji na protokolu Secure Skinny Client Control Protocol (SCCP) ali protokolu začetka seje (SIP) in ga je mogoče šifrirati z uporabo varnosti transportne plasti (TLS). Medij od/do končnih točk temelji na protokolu transporta v realnem času (RTP) in se lahko šifrira tudi z uporabo varnega RTP (SRTP).

Omogočanje mešanega načina na Unified CM omogoča šifriranje signaliziranja in medijskega prometa od končnih točk Cisco in do njih.

Varne aplikacije UC

Omogočanje mešanega načina v namenskem primerku

Mešani način je privzeto omogočen v namenskem primerku.

Omogočanje mešanega načina v namenskem primerku omogoča šifriranje signaliziranja in medijskega prometa od končnih točk Cisco in do njih.

V izdaji Cisco Unified CM 12.5(1) je bila za odjemalce Jabber in Webex dodana nova možnost za omogočanje šifriranja signaliziranja in medijev na podlagi SIP OAuth namesto mešanega načina/CTL. Zato se lahko v izdaji Unified CM 12.5(1) SIP OAuth in SRTP uporabljata za omogočanje šifriranja za signaliziranje in predstavnosti za odjemalce Jabber ali Webex. Omogočanje mešanega načina je trenutno še naprej potrebno za telefone Cisco IP in druge končne točke Cisco. V prihodnji izdaji je načrtovana dodana podpora za SIP OAuth na 7800/8800 končnih točkah.

Varnost glasovnega sporočanja

Povezava Cisco Unity se poveže z Unified CM prek vrat TLS. Ko varnostni način naprave ni varen, se povezava Cisco Unity poveže z Unified CM prek vrat SCCP.

Če želite konfigurirati varnost za vrata glasovnega sporočanja Unified CM in naprave Cisco Unity, ki delujejo SCCP, ali naprave Cisco Unity Connection, ki delujejo SCCP, lahko partner izbere varen način varnosti naprave za vrata. Če izberete preverjena vrata glasovne pošte, se odpre povezava TLS, ki preveri pristnost naprav z vzajemno izmenjavo potrdil (vsaka naprava sprejme potrdilo druge naprave). Če izberete šifrirana vrata glasovne pošte, sistem najprej preveri pristnost naprav in nato pošlje šifrirane glasovne tokove med napravami.

Za več informacij o varnostnih vratih glasovnega sporočanja glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Varnost za SRST, združene linije, prehode, CUBE/SBC

Prehod, ki je omogočen za telefonijo oddaljenega spletnega mesta Cisco Unified (SRST), zagotavlja omejena opravila obdelave klicev, če Cisco Unified CM na namenskem primerku ne more dokončati klica.

Varni prehodi z omogočenim SRST vsebujejo samopodpisano potrdilo. Ko partner izvede konfiguracijska opravila SRST v Upravljanju Unified CM, Unified CM uporablja povezavo TLS za preverjanje pristnosti s storitvijo ponudnika potrdil v prehodu, ki omogoča SRST. Unified CM nato pridobi potrdilo iz prehoda z omogočenim SRST in doda potrdilo v zbirko podatkov Unified CM.

Ko partner ponastavi odvisne naprave v Upravljanju Unified CM, strežnik TFTP doda potrdilo prehoda z omogočenim SRST v telefonsko datoteko cnf.xml in pošlje datoteko v telefon. Varen telefon nato za interakcijo s prehodom, ki omogoča SRST, uporablja povezavo TLS.

Priporočamo, da imate varne združene linije za klic, ki izvira iz Cisco Unified CM na prehod za odhodne klice PSTN ali prehod skozi element Cisco Unified Border Element (CUBE).

Združene linije SIP lahko podpirajo varne klice tako za signaliziranje kot za predstavnost; TLS zagotavlja šifriranje signaliziranja in SRTP zagotavlja šifriranje predstavnosti.

Varovanje komunikacije med Cisco Unified CM in CUBE

Za varno komunikacijo med Cisco Unified CM in CUBE morajo partnerji/stranke uporabiti samopodpisano potrdilo ali potrdila, podpisana s strani CA.

Za samopodpisana potrdila:

  1. CUBE in Cisco Unified CM ustvarjata samopodpisana potrdila

  2. Izvozi potrdilo CUBE v Cisco Unified CM

  3. Izvozi potrdilo Cisco Unified CM v CUBE

Za potrdila, podpisana s strani CA:

  1. Odjemalec ustvari par ključev in pošlje zahtevo za podpis potrdila (CSR) Certificate Authority (CA).

  2. CA ga podpiše s svojim zasebnim ključem, kar ustvari potrdilo o identiteti

  3. Odjemalec namesti seznam zaupanja vrednih korenskih in posredniških potrdil CA in potrdila identitete

Varnost za oddaljene končne točke

S končnimi točkami mobilnega in oddaljenega dostopa (MRA) so signalizacija in mediji vedno šifrirani med končnimi točkami MRA in vozlišči Expressway. Če se za končne točke MRA uporablja protokol Interactive Connectivity Establishment (ICE), je potrebno signaliziranje in šifriranje medijev za končne točke MRA. Vendar pa šifriranje signaliziranja in medijev med strežniki Expressway-C in notranjimi strežniki Unified CM, notranjimi končnimi točkami ali drugimi notranjimi napravami zahteva mešani način ali SIP OAuth.

Cisco Expressway zagotavlja varno prečno in linijo podporo požarnemu zidu za registracije Unified CM. Unified CM zagotavlja nadzor klicev tako za mobilne kot tudi v podjetju. Signaliziranje prečka rešitev Expressway med oddaljeno končno točko in Unified CM. Mediji prečkajo rešitev Expressway in se neposredno prenašajo med končnimi točkami. Vsi mediji so šifrirani med Expressway-C in mobilno končno točko.

Vsaka rešitev MRA zahteva Expressway in Unified CM z mehkimi odjemalci in/ali fiksnimi končnimi točkami, ki so združljive z MRA. Rešitev lahko po želji vključuje storitev neposrednega sporočanja in prisotnosti ter povezavo Unity.

Povzetek protokola

V spodnji tabeli so prikazani protokoli in povezane storitve, ki se uporabljajo v rešitvi Unified CM.

Tabela 1. Protokoli in povezane storitve

Protokol

Varnost

Storitev

SIP

TLS

Nastavitev seje: Registriraj, povabi itd.

https

TLS

Prijava, omogočanje uporabe/konfiguracija, imenik, vizualna glasovna pošta

Mediji

SRTP

Medij: Zvok, video, skupna raba vsebine

xmpp

TLS

Neposredno sporočanje, prisotnost, federacija

Za več informacij o konfiguraciji MRA glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Možnosti konfiguracije

Namenski primerek partnerju zagotavlja prožnost pri prilagajanju storitev za končne uporabnike s polnim nadzorom dveh dnevnih konfiguracij. Posledično je partner izključno odgovoren za pravilno konfiguracijo storitve namenskega primerka za okolje končnega uporabnika. To med drugim vključuje:

  • Izberite varne/nevarne klice, varne/nevarne protokole, kot so SIP/sSIP, http/https itd. in razumevanje vseh povezanih tveganj.

  • Za vse naslove MAC, ki niso konfigurirani kot varni-SIP v namenskem primerku, lahko napadalec prek tega naslova MAC pošlje sporočilo registra SIP in lahko opravlja klice SIP, kar povzroči plačljivo goljufijo. Preiskava je, da lahko napadalec registrira svojo napravo/programsko opremo SIP v namensko instanco brez dovoljenja, če pozna naslov MAC naprave, registrirane v namenskem primerku.

  • Pravilniki klicev, pravila preoblikovanja in pravila iskanja Expressway-E morajo biti konfigurirani za preprečevanje plačljivih goljufij. Za več informacij o preprečevanju plačljivih goljufij z uporabo Expressways glejte Varnost za Expressway C in Expressway-E v razdelku Sodelovanje SRND.

  • Konfiguracija klicnega načrta, da zagotovite, da lahko uporabniki kličejo samo dovoljene destinacije, na primer prepoved nacionalnega/mednarodnega klicanja, pravilno usmerjanje klicev v sili itd. Za več informacij o uporabi omejitev pri uporabi klicnega načrta glejte razdelek Klicni načrt sodelovanja SRND.

Zahteve za potrdilo za varne povezave v namenskem primerku

Za namensko instanco bo podjetje Cisco zagotovilo domeno in podpisalo vsa potrdila za aplikacije UC prek javnega Certificate Authority (CA).

Namenski primerek – številke vrat in protokoli

V naslednjih tabelah so opisana vrata in protokoli, ki so podprti v namenskem primerku. Vrata, ki se uporabljajo za dano stranko, so odvisna od uvajanja in rešitve stranke. Protokoli so odvisni od osebnih nastavitev stranke (SCCP v primerjavi s SIP), obstoječih naprav v podjetju in ravni varnosti za določitev, katera vrata bodo uporabljena v vsakem uvajanju.

Namenski primerek ne dovoli prevajanja omrežnega naslova (NAT) med končnimi točkami in Unified CM, saj nekatere funkcije poteka klicev ne bodo delovale, na primer funkcija sredi klica.

Namenski primerek – vrata strank

Vrata, ki so na voljo strankam - med stranko v podjetju in namenskim primerkom so prikazana v tabeli 1 Vrata namenskih primerkov strank. Vsa spodaj navedena vrata so za promet strank, ki prečkajo vzajemne povezave.

Vrata SNMP so privzeto odprta samo za reševalca Cisco, ki podpira njegovo funkcionalnost. Ker ne podpiramo partnerjev ali strank, ki nadzorujejo aplikacije UC, nameščene v namenskem oblaku primerka, ne dovoljujemo odpiranja vrat SNMP za druge aplikacije UC.

Vrata SNMP so omogočena za aplikacijo Singlewire (samo za aplikacijo Unified CM). Pri oddaji zahteve se prepričajte, da so naslovi IP, povezani z aplikacijo Singlewire, izrecno navedeni v razdelku Razlog za dovoljenje zahteve. Za več informacij glejte Dvigni zahtevo za storitev .

Vrata v razponu od 5063 do 5080 Cisco rezervira za druge integracije v oblaku, skrbnikom partnerjev ali strank priporočamo, da ne uporabljajo teh vrat v svojih konfiguracijah.

Tabela 2. Vrata namenske stranke primerka

Protokol

tcp/udp

Vir

Cilj

Izvorna vrata

Vrata destinacije

Namen

ssh

TCP

Odjemalec

Aplikacije UC

Ni dovoljeno za aplikacije Cisco Expressway.

Več kot 1023

22

Skrbništvo

tftp

udp

Končna točka

Unified CM

Več kot 1023

69

Starejša podpora za končno točko

LDAP

TCP

Aplikacije UC

Zunanji imenik

Več kot 1023

389

Sinhronizacija imenika s stranko LDAP

https

TCP

Brskalnik

Aplikacije UC

Več kot 1023

443

Spletni dostop za samooskrbo in administrativne vmesnike

Odhodna pošta (VARNA)

TCP

Aplikacija UC

CUCxn

Več kot 1023

587

Uporablja se za sestavljanje in pošiljanje varnih sporočil vsem določenim prejemnikom

ldap (varen)

TCP

Aplikacije UC

Zunanji imenik

Več kot 1023

636

Sinhronizacija imenika s stranko LDAP

H323

TCP

Prehod

Unified CM

Več kot 1023

1720

Signalizacija klica

H323

TCP

Unified CM

Unified CM

Več kot 1023

1720

Signalizacija klica

SCCP

TCP

Končna točka

Unified CM, CUCxn

Več kot 1023

2000

Signalizacija klica

SCCP

TCP

Unified CM

Unified CM, prehod

Več kot 1023

2000

Signalizacija klica

Opomba:

udp

Prehod

Prehod

Več kot 1023

2427

Signalizacija klica

MGCP Backhaul

TCP

Prehod

Unified CM

Več kot 1023

2428

Signalizacija klica

sccp (varno)

TCP

Končna točka

Unified CM, CUCxn

Več kot 1023

2443

Signalizacija klica

sccp (varno)

TCP

Unified CM

Unified CM, prehod

Več kot 1023

2443

Signalizacija klica

Preverjanje zaupanja

TCP

Končna točka

Unified CM

Več kot 1023

2445

Zagotavljanje storitve preverjanja zaupanja končnim točkam

cti

TCP

Končna točka

Unified CM

Več kot 1023

2748

Povezava med aplikacijami CTI (JTAPI/TSP) in CTIManager

Varen CTI

TCP

Končna točka

Unified CM

Več kot 1023

2749

Varna povezava med aplikacijami CTI (JTAPI/TSP) in CTIManager

Globalni katalog LDAP

TCP

Aplikacije UC

Zunanji imenik

Več kot 1023

3268

Sinhronizacija imenika s stranko LDAP

Globalni katalog LDAP

TCP

Aplikacije UC

Zunanji imenik

Več kot 1023

3269

Sinhronizacija imenika s stranko LDAP

Storitev CAPF

TCP

Končna točka

Unified CM

Več kot 1023

3804

Funkcija proxy organa za potrdila (CAPF), ki posluša vrata za izdajanje lokalno pomembnih potrdil (LSC) telefonom IP

SIP

TCP

Končna točka

Unified CM, CUCxn

Več kot 1023

5060

Signalizacija klica

SIP

TCP

Unified CM

Unified CM, prehod

Več kot 1023

5060

Signalizacija klica

sip (varno)

TCP

Končna točka

Unified CM

Več kot 1023

5061

Signalizacija klica

sip (varno)

TCP

Unified CM

Unified CM, prehod

Več kot 1023

5061

Signalizacija klica

sip (oauth)

TCP

Končna točka

Unified CM

Več kot 1023

5090

Signalizacija klica

xmpp

TCP

Odjemalec Jabber

Cisco IM&P

Več kot 1023

5222

Neposredno sporočanje in prisotnost

HTTP

TCP

Končna točka

Unified CM

Več kot 1023

6970

Prenos konfiguracije in slik v končne točke

https

TCP

Končna točka

Unified CM

Več kot 1023

6971

Prenos konfiguracije in slik v končne točke

https

TCP

Končna točka

Unified CM

Več kot 1023

6972

Prenos konfiguracije in slik v končne točke

HTTP

TCP

Odjemalec Jabber

CUCxn

Več kot 1023

7080

Obvestila o glasovni pošti

https

TCP

Odjemalec Jabber

CUCxn

Več kot 1023

7443

Zaščiti obvestila o glasovni pošti

https

TCP

Unified CM

Unified CM

Več kot 1023

7501

Storitev za iskanje v gruči (ILS) uporablja za preverjanje pristnosti na podlagi potrdila

https

TCP

Unified CM

Unified CM

Več kot 1023

7502

ILS uporablja za preverjanje pristnosti na podlagi gesla

imap

TCP

Odjemalec Jabber

CUCxn

Več kot 1023

7993

IMAP preko TLS

HTTP

TCP

Končna točka

Unified CM

Več kot 1023

8080

URI imenika za starejšo podporo končne točke

https

TCP

Brskalnik, končna točka

Aplikacije UC

Več kot 1023

8443

Spletni dostop do samooskrbe in administrativnih vmesnikov, UDS

https

TCP

Telefon

Unified CM

Več kot 1023

9443

Iskanje preverjenih stikov

HTTP-ji

TCP

Končna točka

Unified CM

Več kot 1023

9444

Funkcija upravljanja naglavnih slušalk

Varen RTP/SRTP

udp

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Mediji (zvok) - Music On Hold, Annunciator, Software Conference Bridge (odprto na osnovi signaliziranja klicev)

Varen RTP/SRTP

udp

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Mediji (zvok) - Music On Hold, Annunciator, Software Conference Bridge (odprto na osnovi signaliziranja klicev)

komori

TCP

Odjemalec

CUCxn

Več kot 1023

20532

Varnostno kopirajte in obnovite komplet programov

icmp

icmp

Končna točka

Aplikacije UC

ni na voljo

ni na voljo

Ping

icmp

icmp

Aplikacije UC

Končna točka

ni na voljo

ni na voljo

Ping

DNS UDP in TCP

Posredovanje DNS

Strežniki DNS namenskih primerkov

Več kot 1023

53

Pošiljatelji DNS prostora stranke na namenske strežnike DNS primerkov. Za več informacij glejte zahteve DNS .

* Nekateri posebni primeri lahko uporabljajo večji razpon.

Namenski primerek – vrata OTT

Stranke in partnerji lahko uporabljajo naslednja vrata za nastavitev mobilnega in oddaljenega dostopa (MRA):

Tabela 3. Vrata za OTT

Protokol

tcp/ucp

Vir

Cilj

Izvorna vrata

Vrata destinacije

Namen

varen rtp/rtcp

udp

Expressway C

Odjemalec

Več kot 1023

36000-59999

Varni predstavnosti za klice MRA in B2B

Združena linija SIP med več najemnikom in namenskim primerkom (samo za združeno linijo na osnovi registracije)

Za povezavo združene linije SIP na podlagi registracije med večnajemnikom in namenskim primerkom mora biti dovoljen naslednji seznam vrat na požarnem zidu stranke.

Tabela 4. Vrata za združene linije na osnovi registracije

Protokol

tcp/ucp

Vir

Cilj

Izvorna vrata

Vrata destinacije

Namen

rtp/rtcp

udp

Večnajemnik Webex Calling

Odjemalec

Več kot 1023

8000-48198

Predstavnost večnajemnika Webex Calling

Namenski primerek – vrata UCCX

Stranke in partnerji lahko uporabijo naslednji seznam vrat za konfiguracijo UCCX.

Tabela 5. Vrata Cisco UCCX

Protokol

tcp/ucp

Vir

Cilj

Izvorna vrata

Vrata destinacije

Namen

ssh

TCP

Odjemalec

ucmX

Več kot 1023

22

SFTP in SSH

Informix

TCP

Odjemalec ali strežnik

ucmX

Več kot 1023

1504

Vrata zbirke podatkov kontaktnega centra Express

SIP

UDP in TCP

Strežnik SIP GW ali MCRP

ucmX

Več kot 1023

5065

Komunikacija z oddaljenimi vozlišči GW in MCRP

xmpp

TCP

Odjemalec

ucmX

Več kot 1023

5223

Varna povezava XMPP med strežnikom Finesse in aplikacijami tretjih oseb po meri

cvd

TCP

Odjemalec

ucmX

Več kot 1023

6999

Urejevalnik za programe CCX

https

TCP

Odjemalec

ucmX

Več kot 1023

7443

Varna povezava BOSH med strežnikom Finesse in namizji posrednikov in nadzornikov za komunikacijo prek HTTPS

HTTP

TCP

Odjemalec

ucmX

Več kot 1023

8080

Odjemalci za sporočanje podatkov v živo se povežejo s strežnikom socket.IO

HTTP

TCP

Odjemalec

ucmX

Več kot 1023

8081

Brskalnik odjemalcev, ki poskuša dostopati do spletnega vmesnika Cisco Unified Intelligence Center

HTTP

TCP

Odjemalec

ucmX

Več kot 1023

8443

Skrbniški GUI, RTMT in dostop DB prek SOAP

https

TCP

Odjemalec

ucmX

Več kot 1023

8444

Spletni vmesnik Cisco Unified Intelligence Center

https

TCP

Odjemalci brskalnika in REST

ucmX

Več kot 1023

8445

Varna vrata za Finesse

https

TCP

Odjemalec

ucmX

Več kot 1023

8447

HTTPS - spletna pomoč Unified Intelligence Center

https

TCP

Odjemalec

ucmX

Več kot 1023

8553

Komponente za enotni vpis (SSO) dostopajo do tega vmesnika, da izveste stanje delovanja Cisco IdS.

HTTP

TCP

Odjemalec

ucmX

Več kot 1023

9080

Odjemalci, ki poskušajo dostopati do sprožilcev HTTP ali dokumentov / pozivov / slovnice / podatkov v živo.

https

TCP

Odjemalec

ucmX

Več kot 1023

9443

Varna vrata, ki se uporabljajo za odziv na odjemalce, ki poskušajo dostopati do sprožilcev HTTPS

TCP

TCP

Odjemalec

ucmX

Več kot 1023

12014

To je vrata, kjer se lahko odjemalci za poročanje v živo povežejo s strežnikom socket.IO

TCP

TCP

Odjemalec

ucmX

Več kot 1023

12015

To je vrata, kjer se lahko odjemalci za poročanje v živo povežejo s strežnikom socket.IO

cti

TCP

Odjemalec

ucmX

Več kot 1023

12028

Odjemalec CTI tretjega ponudnika do CCX

RTP( srednja)

TCP

Končna točka

ucmX

Več kot 1023

Več kot 1023

Vrata predstavnosti se po potrebi odprejo dinamično

RTP( srednja)

TCP

Odjemalec

Končna točka

Več kot 1023

Več kot 1023

Vrata predstavnosti se po potrebi odprejo dinamično

Varnost odjemalca

Zaščita Jabber in Webex s SIP OAuth

Odjemalci Jabber in Webex se preverijo z žetonom OAuth namesto lokalno pomembnega potrdila (LSC), ki ne zahteva omogočanja funkcije proxy overitelja potrdil (CAPF) (tudi za MRA). SIP OAuth, ki deluje z mešanim načinom ali brez njega, je bil uveden v Cisco Unified CM 12.5(1), Jabber 12.5 in Expressway X12.5.

V Cisco Unified CM 12.5 imamo novo možnost v varnostnem profilu telefona, ki omogoča šifriranje brez LSC/CAPF z uporabo enojne varnosti transportne plasti (TLS) + OAuth žetona v REGISTRU SIP. Vozlišča Expressway-C uporabljajo API za administrativno spletno storitev XML (AXL) za obveščanje Cisco Unified CM o SN/SAN v svojem potrdilu. Cisco Unified CM uporablja te informacije za potrditev potrdila Exp-C pri vzpostavljanju vzajemne povezave TLS.

SIP OAuth omogoča šifriranje medijev in signaliziranje brez potrdila končne točke (LSC).

Cisco Jabber za prenos konfiguracijskih datotek uporablja efemetrična vrata in varna vrata 6971 in 6972 prek povezave HTTPS s strežnikom TFTP. Vrata 6970 so nevarna vrata za prenos prek HTTP.

Več podrobnosti o konfiguraciji SIP OAuth: način SIP OAuth.

Zahteve DNS

Za namenski primerek Cisco zagotovi FQDN za storitev v vsaki regiji z naslednjo obliko zapisa ..wxc-di.webex.com na primer, xyz.amer.wxc-di.webex.com.

Vrednost »stranke« zagotovi skrbnik kot del čarovnika za prvo nastavitev (FTSW). Za več informacij glejte Aktivacija namenske storitve primerka.

Zapise DNS za ta FQDN morajo biti razločljivi iz notranjega strežnika DNS stranke, da podpirajo naprave v podjetju, ki se povezujejo z namenskim primerkom. Za olajšanje ločljivosti mora stranka konfigurirati pogojni pošiljatelj za ta FQDN na svojem strežniku DNS, ki kaže na storitev DNS namenskega primerka. Storitev DNS namenskega primerka je regionalna in jo je mogoče doseči prek vzajemnega povezovanja do namenskega primerka z naslednjimi naslovi IP, kot je navedeno v spodnji tabeli Naslov IP storitve namenskega primerka.

Tabela 6. Naslov IP storitve DNS namenskega primerka

Regija/DC

Naslov IP storitve DNS namenskega primerka

Primer pogojnega posredovanja

AMER

<customer>.amer.wxc-di.webex.com

sjc

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

ā ve

178.215.138.100

ams

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

med

178.215.131.100

ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

brez

103.232.71.100

tky

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

megla

178.215.128.100

syd

178.215.128.228

ZK

<customer>.uk.wxc-di.webex.com

ā ve

178.215.135.100

moški

178.215.135.228

Za zgornje naslove IP strežnika DNS je iz varnostnih razlogov onemogočena možnost ping.

Dokler ni vzpostavljeno pogojno posredovanje, naprave ne bodo mogle registrirati v namenskem primerku iz notranjega omrežja stranke prek povezav za vzajemno omrežno povezovanje. Za registracijo prek mobilnega in oddaljenega dostopa (MRA) ni potrebno pogojno posredovanje, saj bo podjetje Cisco vnaprej zagotovilo vse potrebne zunanje zapise DNS za omogočanje MRA.

Ko uporabljate aplikacijo Webex kot programski odjemalec za klicanje v namenskem primerku, mora biti profil UC Manager v zvezdišču Control Hub konfiguriran za domeno glasovne storitve (VSD) vsake regije. Za več informacij glejte profile UC Manager v Cisco Webex Control Hub. Aplikacija Webex bo lahko samodejno razpustila rob Expressway stranke brez posredovanja končnega uporabnika.

Domena glasovne storitve bo zagotovljena stranki kot del dokumenta za dostop partnerja, ko bo aktivacija storitve dokončana.

Uporabite lokalni usmerjevalnik za ločljivost DNS telefona

Za telefone, ki nimajo dostopa do strežnikov DNS podjetja, lahko uporabite lokalni usmerjevalnik Cisco za posredovanje zahtev DNS v DNS namenskega primerka v oblaku. S tem odstranite potrebo po uvedbi lokalnega strežnika DNS in zagotovite polno podporo DNS, vključno s predpomnjenjem.

Konfiguracija primera :

!

ip strežnik DNS

ime strežnika IP

!

Uporaba DNS v tem modelu uvajanja je specifična za telefone in jo je mogoče uporabiti samo za razrešitev FQDN z domeno iz namenskega primerka za stranke.

Ločljivost DNS telefona