Omrežne zahteve za namenski primerek

Namenski primerek Webex Calling je del portfelja Cisco Cloud Calling, ki ga poganja tehnologija sodelovanja Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance ponuja glasovne, video, sporočilne in mobilne rešitve s funkcijami in prednostmi Cisco IP telefonov, mobilnih naprav in namiznih odjemalcev, ki se varno povežejo z namenskim primerkom.

Ta članek je namenjen skrbnikom omrežja, zlasti skrbnikom požarnega zidu in varnosti strežnika proxy, ki želijo uporabiti namenski primerek v svoji organizaciji.

Pregled varnosti: Varnost v plasteh

Namenski primerek uporablja večplastni pristop za varnost. Plasti vključujejo:

  • Fizični dostop

  • Omrežje

  • Končne točke

  • Aplikacije poenotene komunikacije

V spodnjih razdelkih so opisane plasti varnosti pri uvajanju namenskih primerkov.

Fizična varnost

Pomembno je zagotoviti fizično varnost lokacij Equinix Meet-Me Room in objektov Cisco Dedicated Instance Data Center. Ko je fizična varnost ogrožena, se lahko sprožijo preprosti napadi, kot je prekinitev storitve z izklopom napajanja strankinih stikal. S fizičnim dostopom lahko napadalci dobijo dostop do strežniških naprav, ponastavijo gesla in pridobijo dostop do stikal. Fizični dostop omogoča tudi bolj izpopolnjene napade, kot so napadi človeka v sredini, zato je druga varnostna plast, omrežna varnost, ključnega pomena.

Samošifrirni pogoni se uporabljajo v podatkovnih centrih namenskih primerkov, ki gostijo aplikacije UC.

Če želite več informacij o splošnih varnostnih postopkih, glejte dokumentacijo na tem mestu: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Varnost omrežja

Partnerji morajo zagotoviti, da so vsi omrežni elementi zavarovani v infrastrukturi namenske instance (ki se povezuje prek Equinixa). Partner je odgovoren za zagotavljanje najboljših varnostnih praks, kot so:

  • Ločeno omrežje VLAN za glas in podatke

  • Omogoči varnost vrat, ki omejuje število dovoljenih naslovov MAC na vrata, proti poplavljanju tabele CAM

  • Zaščita vira IP pred ponarejenimi naslovi IP

  • Dinamični pregled ARP (DAI) preučuje protokol za reševanje naslovov (ARP) in neupravičeni ARP (GARP) za kršitve (proti lažnemu predstavljanju ARP)

  • 802.1x omejuje dostop do omrežja za preverjanje pristnosti naprav v dodeljenih omrežjih VLAN (telefoni podpirajo 802.1x)

  • Konfiguracija kakovosti storitve (QoS) za ustrezno označevanje glasovnih paketov

  • Konfiguracije vrat požarnega zidu za blokiranje drugega prometa

Varnost končnih točk

Ciscove končne točke podpirajo privzete varnostne funkcije, kot so podpisana vdelana programska oprema, varen zagon (izbrani modeli), proizvajalčevo nameščeno potrdilo (MIC) in podpisane konfiguracijske datoteke, ki zagotavljajo določeno raven varnosti za končne točke.

Poleg tega lahko partner ali stranka omogoči dodatno varnost, kot so:

  • Šifrirajte telefonske storitve IP (prek protokola HTTPS) za storitve, kot je Extension Mobility

  • Izdajanje lokalno pomembnih potrdil (LSC) iz funkcije proxy overitelja potrdil (CAPF) ali javnega overitelja potrdil (CA)

  • Šifriranje konfiguracijskih datotek

  • Šifriranje medijev in signalizacije

  • Onemogočite te nastavitve, če jih ne uporabljate: PC vrata, PC Voice VLAN dostop, brezplačen ARP, spletni dostop, gumb za nastavitve, SSH, konzola

Izvajanje varnostnih mehanizmov v namenski instanci preprečuje krajo identitete telefonov in strežnika Unified CM, spreminjanje podatkov in poseganje v signalizacijo klicev / medijski tok.

Namenski primerek v omrežju:

  • Vzpostavi in vzdržuje preverjene komunikacijske tokove

  • Digitalno podpiše datoteke pred prenosom datoteke v telefon

  • Šifrira medijske tokove in signalizacijo klicev med telefoni Cisco Unified IP

Privzeta varnostna nastavitev

Privzeta varnost zagotavlja naslednje samodejne varnostne funkcije za telefone Cisco Unified IP:

  • Podpisovanje konfiguracijskih datotek telefona

  • Podpora za šifriranje konfiguracijskih datotek telefona

  • HTTPS s Tomcatom in drugimi spletnimi storitvami (MIDlets)

Za Unified CM Release 8.0 so te varnostne funkcije privzeto na voljo brez zagona odjemalca CTL (Certificate Trust List).

Storitev preverjanja zaupanja

Ker je v omrežju veliko telefonov in imajo telefoni IP omejen pomnilnik, Cisco Unified CM deluje kot oddaljena shramba zaupanja prek storitve preverjanja zaupanja (TVS), tako da shrambe zaupanja potrdil ni treba namestiti na vsak telefon. Telefoni Cisco IP se obrnejo na strežnik TVS za preverjanje, ker ne morejo preveriti podpisa ali potrdila prek datotek CTL ali ITL. Centralno shrambo zaupanja je lažje upravljati kot imeti shrambo zaupanja na vsakem telefonu Cisco Unified IP.

TVS omogoča Cisco Unified IP telefonom, da med vzpostavitvijo HTTPS preverijo pristnost aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet.

Začetni seznam zaupanja

Datoteka začetnega seznama zaupanja (ITL) se uporablja za začetno varnost, tako da lahko končne točke zaupajo Cisco Unified CM. ITL ne potrebuje nobenih varnostnih funkcij, da bi bile izrecno omogočene. Datoteka ITL se samodejno ustvari, ko je gruča nameščena. Zasebni ključ strežnika TFTP (Unified CM Trivial File Transfer Protocol) se uporablja za podpisovanje datoteke ITL.

Ko je gruča ali strežnik Cisco Unified CM v nevarnem načinu, se datoteka ITL prenese na vsak podprt telefon Cisco IP. Partner si lahko ogleda vsebino datoteke ITL z ukazom CLI, admin:show itl.

Telefoni Cisco IP potrebujejo datoteko ITL za izvajanje naslednjih opravil:

  • Varna komunikacija s CAPF, predpogoj za podporo šifriranju konfiguracijskih datotek

  • Preverjanje pristnosti podpisa konfiguracijske datoteke

  • Preverjanje pristnosti aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet med vzpostavitvijo HTTPS z uporabo TVS

Cisco CTL

Preverjanje pristnosti naprav, datotek in signalizacije je odvisno od ustvarjanja datoteke CTL (Certificate Trust List), ki se ustvari, ko partner ali stranka namesti in konfigurira odjemalca Cisco Certificate Trust List.

Datoteka CTL vsebuje vnose za te strežnike ali varnostne žetone:

  • Varnostni žeton skrbnika sistema (SAST)

  • Storitve Cisco CallManager in Cisco TFTP, ki se izvajajo v istem strežniku

  • Funkcija pooblaščenca za overjanje potrdil (CAPF)

  • Strežniki TFTP

  • Požarni zid ASA

Datoteka CTL vsebuje strežniško potrdilo, javni ključ, serijsko številko, podpis, ime izdajatelja, ime subjekta, funkcijo strežnika, ime DNS in naslov IP za vsak strežnik.

Varnost telefona s CTL zagotavlja naslednje funkcije:

  • Preverjanje pristnosti datotek, prenesenih s protokolom TFTP (konfiguracija, območne nastavitve, seznam zvonjenja itd.) z uporabo ključa za podpisovanje

  • Šifriranje konfiguracijskih datotek TFTP s podpisnim ključem

  • Šifrirana signalizacija klicev za telefone IP

  • Šifriran zvok klica (mediji) za telefone IP

Varnost za Cisco IP telefone v namenski instanci

Namenski primerek omogoča registracijo končne točke in obdelavo klicev. Signalizacija med Cisco Unified CM in končnimi točkami temelji na protokolu Secure Skinny Client Control Protocol (SCCP) ali protokolu SIP (Session Initiation Protocol) in jo je mogoče šifrirati z uporabo TLS (Transport Layer Security). Mediji od/do končnih točk temeljijo na protokolu RTP (Real-time Transport Protocol) in jih je mogoče šifrirati tudi z varnim RTP (SRTP).

Omogočanje mešanega načina na Unified CM omogoča šifriranje signalnega in medijskega prometa iz in do končnih točk Cisco.

Varne aplikacije poenotene komunikacije

Omogočanje mešanega načina v namenskem primerku

Mešani način je privzeto omogočen v namenskem primerku.

Omogočanje mešanega načina v namenskem primerku omogoča šifriranje signalnega in medijskega prometa iz in do končnih točk Cisco.

V izdaji Cisco Unified CM 12.5(1) je bila za odjemalce Jabber in Webex dodana nova možnost za omogočanje šifriranja signalizacije in medijev na podlagi SIP OAuth namesto mešanega načina / CTL. Zato lahko v izdaji Unified CM 12.5(1) SIP OAuth in SRTP uporabite za omogočanje šifriranja za signalizacijo in medije za odjemalce Jabber ali Webex. Omogočanje mešanega načina je trenutno še vedno potrebno za telefone Cisco IP in druge končne točke Cisco. Obstaja načrt za dodajanje podpore za SIP OAuth v končnih točkah 7800/8800 v prihodnji izdaji.

Varnost glasovnih sporočil

Cisco Unity Connection se poveže z Unified CM prek vrat TLS. Ko varnostni način naprave ni varen, se povezava Cisco Unity poveže z Unified CM prek vrat SCCP.

Če želite konfigurirati varnost za vrata za glasovno sporočanje Unified CM in naprave Cisco Unity, v katerih se izvaja SCCP ali naprave Cisco Unity Connection, v katerih se izvaja SCCP, lahko partner izbere varen varnostni način naprave za vrata. Če izberete vrata glasovne pošte s preverjeno pristnostjo, se odpre povezava TLS, ki preveri pristnost naprav z medsebojno izmenjavo potrdil (vsaka naprava sprejme potrdilo druge naprave). Če izberete vrata za šifrirano glasovno pošto, sistem najprej preveri pristnost naprav in nato pošlje šifrirane glasovne tokove med napravami.

Če želite več informacij o vratih za sporočanje Security Voice, glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Varnost za SRST, Trunks, Gateways, CUBE/SBC

Prehod s Cisco Unified Survivable Remote Site Telephony (SRST) zagotavlja omejene naloge obdelave klicev, če Cisco Unified CM na namenskem primerku ne more dokončati klica.

Varni prehodi, ki podpirajo SRST, vsebujejo samopodpisano potrdilo. Ko partner izvede konfiguracijska opravila SRST v poenotenem skrbništvu CM, Unified CM uporabi povezavo TLS za preverjanje pristnosti s storitvijo ponudnika potrdil v prehodu, ki podpira SRST. Unified CM nato pridobi potrdilo s prehoda, ki podpira SRST, in doda potrdilo v bazo podatkov Unified CM.

Ko partner ponastavi odvisne naprave v Unified CM Administration, strežnik TFTP doda potrdilo prehoda, ki podpira SRST, v telefonsko cnf.xml datoteko in pošlje datoteko v telefon. Varni telefon nato uporabi povezavo TLS za interakcijo s prehodom, ki podpira SRST.

Priporočljivo je, da imate varne vire za klic, ki izvira iz Cisco Unified CM na prehod za odhodne klice PSTN ali prehod skozi Cisco Unified Border Element (CUBE).

SIP viri lahko podpirajo varne klice tako za signalizacijo kot za medije; TLS zagotavlja šifriranje signalizacije, SRTP pa šifriranje predstavnosti.

Varovanje komunikacije med Cisco Unified CM in CUBE

Za varno komunikacijo med Cisco Unified CM in CUBE morajo partnerji/stranke uporabiti samopodpisano potrdilo ali potrdila, ki jih podpiše CA.

Za samopodpisana potrdila:

  1. CUBE in Cisco Unified CM ustvarjata samopodpisana potrdila

  2. CUBE izvozi potrdilo v Cisco Unified CM

  3. Cisco Unified CM izvozi potrdilo v CUBE

Za potrdila, ki jih podpiše CA:

  1. Odjemalec ustvari par ključev in pošlje zahtevo za podpisovanje potrdila (CSR) overitelju potrdil (CA)

  2. CA ga podpiše s svojim zasebnim ključem in ustvari potrdilo o identiteti

  3. Odjemalec namesti seznam zaupanja vrednih korenskih in posredniških potrdil CA ter potrdilo identitete

Varnost za oddaljene končne točke

Pri končnih točkah mobilnega in oddaljenega dostopa (MRA) so signalizacija in mediji vedno šifrirani med končnimi točkami MRA in vozlišči hitre ceste. Če se za končne točke MRA uporablja protokol ICE (Interactive Connectivity Design), je potrebno signaliziranje in šifriranje medija končnih točk MRA. Vendar pa šifriranje signalizacije in medijev med Expressway-C in notranjimi strežniki Unified CM, notranjimi končnimi točkami ali drugimi notranjimi napravami zahteva mešani način ali SIP OAuth.

Cisco Expressway zagotavlja varno prečkanje požarnega zidu in podporo ob liniji za registracije Unified CM. Unified CM omogoča nadzor klicev za mobilne in lokalne končne točke. Signalizacija prečka rešitev hitre ceste med oddaljeno končno točko in poenotenim CM. Mediji prečkajo rešitev hitre ceste in se neposredno prenašajo med končnimi točkami. Vsi mediji so šifrirani med avtocesto C in mobilno končno točko.

Vsaka rešitev MRA zahteva Expressway in Unified CM z mehkimi odjemalci, združljivimi z MRA, in / ali fiksnimi končnimi točkami. Rešitev lahko izbirno vključuje neposredno sporočanje in storitev prisotnosti ter povezavo z enotnostjo.

Povzetek protokola

V spodnji tabeli so prikazani protokoli in povezane storitve, ki se uporabljajo v rešitvi Unified CM.

Tabela 1. Protokoli in povezane storitve

Protokol

Varnost

Storitev

SIP

TLS

Vzpostavitev seje: Registrirajte se, povabite itd.

HTTPS

TLS

Prijava, omogočanje/konfiguracija, imenik, vizualna glasovna pošta

Medija

SRTP

Medija: Zvok, video, skupna raba vsebine

XMPP

TLS

Neposredno sporočanje, prisotnost, združevanje

Če želite več informacij o konfiguraciji MRA, glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Možnosti konfiguracije

Namenski primerek partnerju zagotavlja prilagodljivost pri prilagajanju storitev za končne uporabnike s popolnim nadzorom nad konfiguracijami drugega dne. Zato je partner izključno odgovoren za pravilno konfiguracijo storitve namenskega primerka za okolje končnega uporabnika. To med drugim vključuje:

  • Izbira varnih / nevarnih klicev, varnih / nezaščitenih protokolov, kot so SIP / sSIP, http / https itd. in razumevanje vseh povezanih tveganj.

  • Za vse naslove MAC, ki niso konfigurirani kot varni SIP v namenskem primerku, lahko napadalec pošlje sporočilo SIP Register s tem naslovom MAC in lahko kliče SIP, kar povzroči goljufijo s cestnino. Pogoj je, da lahko napadalec registrira svojo napravo/programsko opremo SIP v namenski primerek brez dovoljenja, če pozna naslov MAC naprave, registrirane v namenskem primerku.

  • Pravilnike o klicih hitre ceste-E, pravila za preoblikovanje in iskanje je treba konfigurirati tako, da preprečijo goljufije s cestninami. Za več informacij o preprečevanju goljufij s cestninami pri uporabi hitrih cest glejte razdelek Varnost za hitre ceste C in hitre ceste-E v razdelku Collaboration SRND.

  • Konfiguracija načrta klicanja, ki zagotavlja, da lahko uporabniki kličejo samo cilje, ki so dovoljeni, npr. prepoved nacionalnega/mednarodnega klicanja, pravilno usmerjajo klice v sili itd. Če želite več informacij o uporabi omejitev z načrtom klicanja, glejte razdelek Načrt klicanja v razdelku Collaboration SRND.

Zahteve za potrdilo za varne povezave v namenskem primerku

Za namenski primer bo Cisco zagotovil domeno in podpisal vsa potrdila za aplikacije UC z uporabo javnega overitelja potrdil (CA).

Namenski primerek – številke vrat in protokoli

V spodnjih tabelah so opisana vrata in protokoli, ki so podprti v namenskem primerku. Vrata, ki se uporabljajo za določeno stranko, so odvisna od strankine uvedbe in rešitve. Protokoli so odvisni od uporabnikovih preferenc (SCCP v primerjavi s SIP), obstoječih naprav na mestu uporabe in ravni varnosti, da določite, katera vrata se bodo uporabljala pri posamezni uvajanju.


 

Namenski primerek ne dovoljuje prevajanja omrežnih naslovov (NAT) med končnimi točkami in poenotenim CM, saj nekatere funkcije poteka klica ne bodo delovale, na primer funkcija med klicem.

Namenski primerek – vrata stranke

Vrata, ki so na voljo strankam – med stranko na mestu uporabe in namenskim primerkom, so prikazana v tabeli 1 Vratastranke za namenski primerek. Vsa spodaj navedena vrata so namenjena prometu strank, ki prečkajo povezave peeringa.


 

Vrata SNMP so privzeto odprta samo za Cisco Emergency Responder, ki podpira njegove funkcije. Ker ne podpiramo partnerjev ali strank, ki spremljajo aplikacije poenotene komunikacije, ki so nameščene v oblaku namenskega primerka, ne dovolimo odpiranja vrat SNMP za druge aplikacije poenotene komunikacije.


 

Vrata v območju od 5063 do 5080 je Cisco rezerviral za druge integracije v oblaku, zato partnerjem ali skrbnikom strank priporočamo, da teh vrat ne uporabljajo v svojih konfiguracijah.

Tabela 2. Namenska vrata za stranke primerka

Protokol

TCP/UDP

Izvir

Cilj

Izvorna vrata

Ciljno pristanišče

Namen

SSH

TCP

Odjemalec

Aplikacije poenotene komunikacije


 
Ni dovoljeno za aplikacije Cisco Expressway.

Več kot 1023

22

Skrbništvo

TFTP

UDP

Končna točka

Unified CM

Več kot 1023

69

Podpora za podedovane končne točke

LDAP

TCP

Aplikacije poenotene komunikacije

Zunanji imenik

Več kot 1023

389

Sinhronizacija imenika s strankinim LDAP-om

HTTPS

TCP

Brskalnik

Aplikacije poenotene komunikacije

Več kot 1023

443

Spletni dostop za samooskrbo in administrativne vmesnike

Odhodna pošta (SECURE)

TCP

Uporaba poenotene komunikacije

CUCxn

Več kot 1023

587

Uporablja se za sestavljanje in pošiljanje varnih sporočil vsem določenim prejemnikom

LDAP (VAREN)

TCP

Aplikacije poenotene komunikacije

Zunanji imenik

Več kot 1023

636

Sinhronizacija imenika s strankinim LDAP-om

H323

TCP

Prehod

Unified CM

Več kot 1023

1720

Signalizacija klica

H323

TCP

Unified CM

Unified CM

Več kot 1023

1720

Signalizacija klica

SCCP

TCP

Končna točka

Enoten CM, CUCxn

Več kot 1023

2000

Signalizacija klica

SCCP

TCP

Unified CM

Enotni CM, prehod

Več kot 1023

2000

Signalizacija klica

MGCP

UDP

Prehod

Prehod

Več kot 1023

2427

Signalizacija klica

MGCP Backhaul

TCP

Prehod

Unified CM

Več kot 1023

2428

Signalizacija klica

SCCP (VARNO)

TCP

Končna točka

Enoten CM, CUCxn

Več kot 1023

2443

Signalizacija klica

SCCP (VARNO)

TCP

Unified CM

Enotni CM, prehod

Več kot 1023

2443

Signalizacija klica

Preverjanje zaupanja

TCP

Končna točka

Unified CM

Več kot 1023

2445

Zagotavljanje storitve preverjanja zaupanja za končne točke

CTI

TCP

Končna točka

Unified CM

Več kot 1023

2748

Povezava med aplikacijami CTI (JTAPI/TSP) in CTIManager

Varni CTI

TCP

Končna točka

Unified CM

Več kot 1023

2749

Varna povezava med aplikacijami CTI (JTAPI/TSP) in CTIManager

Globalni katalog LDAP

TCP

Aplikacije UC

Zunanji imenik

Več kot 1023

3268

Sinhronizacija imenika s strankinim LDAP-om

Globalni katalog LDAP

TCP

Aplikacije UC

Zunanji imenik

Več kot 1023

3269

Sinhronizacija imenika s strankinim LDAP-om

Storitev CAPF

TCP

Končna točka

Unified CM

Več kot 1023

3804

Vrata za poslušanje funkcije CAPF (Certificate Authority Proxy Function) za izdajanje lokalno pomembnih certifikatov (LSC) telefonom IP

SIP

TCP

Končna točka

Enoten CM, CUCxn

Več kot 1023

5060

Signalizacija klica

SIP

TCP

Unified CM

Enotni CM, prehod

Več kot 1023

5060

Signalizacija klica

SIP (VARNO)

TCP

Končna točka

Unified CM

Več kot 1023

5061

Signalizacija klica

SIP (VARNO)

TCP

Unified CM

Enotni CM, prehod

Več kot 1023

5061

Signalizacija klica

SIP (OAUTH)

TCP

Končna točka

Unified CM

Več kot 1023

5090

Signalizacija klica

XMPP

TCP

Odjemalec Jabber

Cisco IM&P

Več kot 1023

5222

Neposredno sporočanje in prisotnost

HTTP

TCP

Končna točka

Unified CM

Več kot 1023

6970

Prenos konfiguracije in slik na končne točke

HTTPS

TCP

Končna točka

Unified CM

Več kot 1023

6971

Prenos konfiguracije in slik na končne točke

HTTPS

TCP

Končna točka

Unified CM

Več kot 1023

6972

Prenos konfiguracije in slik na končne točke

HTTP

TCP

Odjemalec Jabber

CUCxn

Več kot 1023

7080

Obvestila glasovne pošte

HTTPS

TCP

Odjemalec Jabber

CUCxn

Več kot 1023

7443

Varna obvestila glasovne pošte

HTTPS

TCP

Unified CM

Unified CM

Več kot 1023

7501

Uporablja storitev Intercluster Seeup Service (ILS) za preverjanje pristnosti na podlagi potrdil

HTTPS

TCP

Unified CM

Unified CM

Več kot 1023

7502

Uporablja ILS za preverjanje pristnosti na podlagi gesla

IMAP

TCP

Odjemalec Jabber

CUCxn

Več kot 1023

7993

IMAP prek TLS

HTTP

TCP

Končna točka

Unified CM

Več kot 1023

8080

URI imenika za podporo za podedovane končne točke

HTTPS

TCP

Brskalnik, končna točka

Aplikacije poenotene komunikacije

Več kot 1023

8443

Spletni dostop za samooskrbo in administrativne vmesnike, UDS

HTTPS

TCP

Telefon

Unified CM

Več kot 1023

9443

Iskanje stikov s preverjeno pristnostjo

Protokoli HTTP

TCP

Končna točka

Unified CM

Več kot 1023

9444

Funkcija upravljanja slušalk

Varen RTP/SRTP

UDP

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Mediji (zvok) - glasba na čakanju, napovedovalnik, programska oprema konferenčni most (odprto na podlagi signalizacije klica)

Varen RTP/SRTP

UDP

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Mediji (zvok) - glasba na čakanju, napovedovalnik, programska oprema konferenčni most (odprto na podlagi signalizacije klica)

KOBRA

TCP

Odjemalec

CUCxn

Več kot 1023

20532

Varnostno kopiranje in obnovitev zbirke aplikacij

ICMP

ICMP

Končna točka

Aplikacije poenotene komunikacije

N/a

N/a

Ping

ICMP

ICMP

Aplikacije poenotene komunikacije

Končna točka

N/a

N/a

Ping

DNS UDP in TCP

Posredovalnik DNS

Namenski strežniki DNS primerkov

Več kot 1023

53

Posredovalniki DNS v prostorih stranke na strežnike DNS z namenskim primerkom. Če želite več informacij, glejte Zahteve DNS.

* Nekateri posebni primeri lahko uporabljajo večji razpon.

Namenski primerek – vrata OTT

Stranke in partnerji lahko uporabljajo ta vrata za nastavitev mobilnega in oddaljenega dostopa (MRA):

Tabela 3. Vrata za OTT

Protokol

TCP/UCP

Izvir

Cilj

Izvorna vrata

Ciljno pristanišče

Namen

VAREN RTP/RTCP

UDP

Hitra cesta C

Odjemalec

Več kot 1023

36000-59999

Varni mediji za klice MRA in B2B

Inter-op SIP trunk med večnajemnikom in namenskim primerkom (samo za deblo, ki temelji na registraciji)

Na požarnem zidu stranke mora biti dovoljen naslednji seznam vrat za vir SIP na podlagi registracije, ki se povezuje med večnajemnikom in namenskim primerkom.

Tabela 4. Pristanišče za debla na podlagi registracije

Protokol

TCP/UCP

Izvir

Cilj

Izvorna vrata

Ciljno pristanišče

Namen

RTP/RTCP

UDP

Webex klicanje z več najemniki

Odjemalec

Več kot 1023

8000-48198

Predstavnost iz Webex Calling Multitenant

Namenski primerek – vrata UCCX

Stranke in partnerji lahko uporabljajo ta seznam vrat za konfiguracijo UCCX.

Tabela 5. Vrata Cisco UCCX

Protokol

TCP / UCP

Izvir

Cilj

Izvorna vrata

Ciljno pristanišče

Namen

SSH

TCP

Odjemalec

UCCX

Več kot 1023

22

SFTP in SSH

Informix

TCP

Odjemalec ali strežnik

UCCX

Več kot 1023

1504

Vrata zbirke podatkov Contact Center Express

SIP

UDP in TCP

SIP GW ali MCRP strežnik

UCCX

Več kot 1023

5065

Komunikacija z oddaljenimi vozlišči GW in MCRP

XMPP

TCP

Odjemalec

UCCX

Več kot 1023

5223

Varna povezava XMPP med strežnikom Finesse in aplikacijami tretjih oseb po meri

KVB

TCP

Odjemalec

UCCX

Več kot 1023

6999

Urejevalnik za aplikacije CCX

HTTPS

TCP

Odjemalec

UCCX

Več kot 1023

7443

Varna povezava BOSH med strežnikom Finesse ter namizji agenta in nadzornika za komunikacijo prek protokola HTTPS

HTTP

TCP

Odjemalec

UCCX

Več kot 1023

8080

Odjemalci, ki poročajo o podatkih v živo, se povežejo z vtičnico. IO strežnik

HTTP

TCP

Odjemalec

UCCX

Več kot 1023

8081

Odjemalski brskalnik, ki poskuša dostopati do spletnega vmesnika Cisco Unified Intelligence Center

HTTP

TCP

Odjemalec

UCCX

Več kot 1023

8443

Skrbniški GUI, RTMT, DB dostop prek SOAP-a

HTTPS

TCP

Odjemalec

UCCX

Več kot 1023

8444

Spletni vmesnik Cisco Unified Intelligence Center

HTTPS

TCP

Odjemalci brskalnika in REST

UCCX

Več kot 1023

8445

Varna vrata za Finesse

HTTPS

TCP

Odjemalec

UCCX

Več kot 1023

8447

HTTPS – spletna pomoč za središče za poenoteno obveščanje

HTTPS

TCP

Odjemalec

UCCX

Več kot 1023

8553

Komponente enotne prijave (SSO) dostopajo do tega vmesnika, da ugotovijo stanje delovanja Cisco IDS.

HTTP

TCP

Odjemalec

UCCX

Več kot 1023

9080

Odjemalci, ki poskušajo dostopati do sprožilcev HTTP ali dokumentov / pozivov / slovnic / podatkov v živo.

HTTPS

TCP

Odjemalec

UCCX

Več kot 1023

9443

Varna vrata, ki se uporabljajo za odzivanje na odjemalce, ki poskušajo dostopati do sprožilcev HTTPS

TCP

TCP

Odjemalec

UCCX

Več kot 1023

12014

To so vrata, kjer se lahko odjemalci, ki poročajo o podatkih v živo, povežejo z vtičnico. IO strežnik

TCP

TCP

Odjemalec

UCCX

Več kot 1023

12015

To so vrata, kjer se lahko odjemalci, ki poročajo o podatkih v živo, povežejo z vtičnico. IO strežnik

CTI

TCP

Odjemalec

UCCX

Več kot 1023

12028

Odjemalec CTI tretje osebe za CCX

RTP (mediji)

TCP

Končna točka

UCCX

Več kot 1023

Več kot 1023

Vrata za predstavnost se po potrebi odprejo dinamično

RTP (mediji)

TCP

Odjemalec

Končna točka

Več kot 1023

Več kot 1023

Vrata za predstavnost se po potrebi odprejo dinamično

Varnost odjemalcev

Zaščita Jabberja in Webexa s SIP OAuth

Odjemalci Jabber in Webex so preverjeni z žetonom OAuth namesto lokalno pomembnega potrdila (LSC), ki ne zahteva omogočanja funkcije proxy overitelja (CAPF) (tudi za MRA). SIP OAuth, ki deluje z mešanim načinom ali brez njega, je bil uveden v Cisco Unified CM 12.5(1), Jabber 12.5 in Expressway X12.5.

V Cisco Unified CM 12.5 imamo novo možnost v Phone Security Profile, ki omogoča šifriranje brez LSC/CAPF, z uporabo enega Transport Layer Security (TLS) + OAuth žetona v SIP REGISTER. Vozlišča Expressway-C uporabljajo API za spletno storitev Administrative XML (AXL) za obveščanje Cisco Unified CM o SN/SAN v svojem certifikatu. Cisco Unified CM uporablja te informacije za preverjanje veljavnosti certifikata Exp-C pri vzpostavljanju medsebojne povezave TLS.

SIP OAuth omogoča šifriranje medijev in signalizacije brez potrdila končne točke (LSC).

Cisco Jabber uporablja kratkotrajna vrata in varna vrata 6971 in 6972 prek povezave HTTPS s strežnikom TFTP za prenos konfiguracijskih datotek. Vrata 6970 so nevarna vrata za prenos prek protokola HTTP.

Več podrobnosti o konfiguraciji SIP OAuth: NačinSIP OAuth.

Zahteve DNS

Za namenski primerek Cisco zagotavlja FQDN za storitev v vsaki regiji v naslednji obliki <customer>:<region> wxc-di.webex.com na primer xyz.amer.wxc-di.webex.com. </region></customer>

Vrednost »stranka« zagotovi skrbnik kot del čarovnika za prvo namestitev (FTSW). Če želite več informacij, glejte Aktiviranje storitve namenskega primerka.

Zapise DNS za ta FQDN je treba razrešiti iz strankinega notranjega strežnika DNS, da se podpirajo naprave na mestu uporabe, ki se povezujejo z namenskim primerkom. Za lažje odpravljanje težav mora stranka v svojem strežniku DNS konfigurirati pogojni posredovalnik za ta FQDN, ki kaže na storitev DNS namenskega primerka. Storitev DNS namenskega primerka je podregionalna in jo je mogoče doseči prek enakovrednega povezovanja z namenskim primerkom z naslednjimi naslovi IP, kot je navedeno v spodnji tabeli NaslovIP storitve DNS namenskega primerka.

Tabela 6. Naslov IP storitve DNS namenskega primerka

Regija/DC

Naslov IP storitve DNS namenskega primerka

Primer pogojnega posredovanja

AMER

<customer>.amer.wxc-di.webex.com</customer>

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com</customer>

LON

178.215.138.100

AMS

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com</customer>

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com</customer>

GREH

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com</customer>

MEL

178.215.128.100

SYD

178.215.128.228


 

Možnost ping je iz varnostnih razlogov onemogočena za zgoraj omenjene naslove IP strežnika DNS.

Dokler pogojno posredovanje ni vzpostavljeno, se naprave ne bodo mogle registrirati v namenski primerek iz notranjega omrežja stranke prek povezav peeringa. Pogojno posredovanje ni potrebno za registracijo prek mobilnega in oddaljenega dostopa (MRA), saj bo Cisco vnaprej zagotovil vse potrebne zunanje zapise DNS za olajšanje MRA.

Če uporabljate aplikacijo Webex kot mehkega odjemalca klicanja v namenskem primerku, je treba v nadzornem središču konfigurirati profil upravitelja UC za domeno glasovne storitve (VSD) vsake regije. Če želite več informacij, glejte Profili upravitelja UC v nadzornem središčuCisco Webex. Aplikacija Webex bo lahko samodejno razrešila strankin rob hitre ceste brez posredovanja končnega uporabnika.


 

Domena glasovne storitve bo stranki zagotovljena kot del partnerskega dostopnega dokumenta, ko bo aktivacija storitve končana.

Uporaba lokalnega usmerjevalnika za razreševanje DNS telefona

Za telefone, ki nimajo dostopa do strežnikov DNS podjetja, je mogoče uporabiti lokalni usmerjevalnik Cisco za posredovanje zahtev DNS v DNS v oblaku Dedicated Instance. S tem odpravite potrebo po uvedbi lokalnega strežnika DNS in zagotovite popolno podporo za DNS, vključno s predpomnjenjem.

Primer konfiguracije :

!

Strežnik IP DNS

Imenski strežnik <DI dns="" server="" ip="" dc1=""> <DI DNS Server IP DC2></DI> IP

!


 

Uporaba DNS v tem modelu uvajanja je specifična za telefone in jo je mogoče uporabiti le za razreševanje FQDN-jev z domeno namenskega primerka stranke.

Phone DNS resolution