Zahtevi mreže za namensku instancu

Webex Pozivanje namenske instance je deo Cisco Cloud Calling portfolija, koji napaja tehnologija saradnje Cisco Unified Communications Manager (Cisco Unified CM). Namenska instanca nudi glasovna, video, rešenja za razmenu poruka i mobilnost sa funkcijama i prednostima Cisco IP telefona, mobilnih uređaja i desktop klijenata koji se bezbedno povezuju sa namenskom instancom.

Ovaj članak je namenjen administratorima mreže, posebno administratorima zaštitnog zida i proxy bezbednosti koji žele da koriste namensku instancu unutar svoje organizacije.

Преглед безбе Bezbednost u slojevima

Namenska instanca koristi slojevit pristup za bezbednost. Slojevi obuhvataju:

  • Fizički pristup

  • Mreža

  • Krajnje tačke

  • UC aplikacije

Sledeći odeljci opisuju slojeve bezbednosti u raspoređivanju namenske instance.

Fizička bezbednost

Važno je obezbediti fizičko obezbeđenje lokacijama Equinix Meet-Me room i objektima Cisco Dedicated Instance Data Center. Kada je fizičko obezbeđenje ugroženo, mogu se pokrenuti jednostavni napadi kao što je prekid usluge isključivanjem napajanja na prekidače klijenta. Uz fizički pristup, napadači bi mogli da dobiju pristup serverima, resetuju lozinke i dobiju pristup prekidačima. Fizički pristup takođe olakšava sofisticiranije napade kao što su napadi čoveka u sredini, zbog čega je drugi bezbednosni sloj, bezbednost mreže, kritičan.

Disk jedinice za samostalno šifrovanje koriste se u data centrima namenske instance koji hostuje UC aplikacije.

Više informacija o opštim bezbednosnim praksama potražite u dokumentaciji na sledećoj lokaciji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Bezbednost mreže

Partneri moraju da obezbede da svi mrežni elementi budu obezbeđeni u namenskoj infrastrukturi instance (koja se povezuje preko Equinix-a). Odgovornost partnera je da obezbedi sigurnost najboljih praksi kao što su:

  • Zaseban VLAN za glas i podatke

  • Omogući bezbednost porta koja ograničava broj MAC adresa koje su dozvoljene po luci, u odnosu na poplave CAM tabele

  • IP izvorna garda protiv lažnih IP adresa

  • Dinamička ARP inspekcija (DAI) ispituje protokol rešavanja adrese (ARP) i zahvalni ARP (GARP) za prekršaje (protiv ARP obmane)

  • 802. ograničava1x mrežni pristup autentifikaciji uređaja na dodeljenim VLAN-om (telefoni podržavaju 802.1x)

  • Konfiguracija kvaliteta usluge (QoS) za odgovarajuće obeležavanje glasovnih paketa

  • Konfiguracije portova zaštitnog zida za blokiranje bilo kog drugog saobraćaja

Bezbednost krajnjih tastanci

Cisco krajnje tačke podržavaju podrazumevane bezbednosne funkcije kao što su potpisani firmver, bezbedno pokretanje sistema (izabrani modeli), instalirani certifikat proizvođača (MIC) i potpisane datoteke konfiguracije, koje obezbeđuju određeni nivo bezbednosti za krajnje tačke.

Pored toga, partner ili klijent mogu da omoguće dodatnu bezbednost, kao što su:

  • Šifriraj usluge IP telefona (putem HTTPS-a) za usluge kao što je Extension Mobility

  • Izdavanje lokalno značajnih certifikata (LSC) iz proxy funkcije autoriteta za izdavanje certifikata (CAPF) ili javnog autoriteta za izdavanje certifikata (CA)

  • Šifriraj datoteke za konfiguraciju

  • Šifrovanje medija i signalizacije

  • Onemogući ove postavke ako se ne koriste: PC port, PC Voice VLAN Access, Gratuitous ARP, Web Access, Settings button, SSH, konzola

Primena bezbednosnih mehanizama u namenskoj instanci sprečava krađu identiteta telefona i Objedinjeni CM server, neovlašćeno menjanje podataka i neovlašćeno pozivanje / neovlašćeno menjanje protoka medija.

Posvećena instanca preko mreže:

  • Uspostavlja i održava potvrđene tokove komunikacije

  • Digitalno potpisuje datoteke pre nego što prenese datoteku na telefon

  • Šifruje tokove medija i poziva na signalizaciju između Cisco Objedinjenih IP telefona

Podrazumevano podešavanje bezbednosti

Bezbednost podrazumevano obezbeđuje sledeće funkcije automatske bezbednosti za Cisco Objedinjene IP telefone:

  • Potpisivanje datoteka za konfiguraciju telefona

  • Podrška za šifrovanje datoteke za konfiguraciju telefona

  • HTTPS sa Tomcatom i drugim Web uslugama (MIDlets)

Za objedinjeni CM Release 8.0 kasnije, ove bezbednosne funkcije su podrazumevano obezbeđene bez pokretanja klijenta liste pouzdanih certifikata (CTL).

Usluga potvrde pouzdanosti

S obzirom na to da postoji veliki broj telefona u mreži i IP telefoni imaju ograničenu memoriju, Cisco Unified CM deluje kao udaljeno skladište poverenja preko Usluge provere poverenja (TVS) tako da skladište poverenja certifikata ne mora da se stavi na svaki telefon. Cisco IP telefoni se kontaktiraju sa TVS serverom radi provere jer ne mogu da provere potpis ili certifikat putem CTL ili ITL datoteka. Lakše je upravljati centralnom pouzdanom prodavnicom nego imati pouzdanu prodavnicu na svakom Cisco Objedinjenom IP telefonu.

TVS omogućava Cisco Objedinjenim IP telefonima da tokom HTTPS establišmenta potvrde identitet servera aplikacija, kao što su EM usluge, direktorijum i MIDlet.

Početna lista poverenja

Datoteka Initial Trust List (ITL) se koristi za početnu bezbednost, tako da krajnje tačke mogu da veruju Cisco objedinjenom CM-u. ITL-u nisu potrebne nikakve bezbednosne funkcije da bi bio omogućen izričito. ITL datoteka se automatski kreira kada se klaster instalira. Privatni ključ objedinjenog CM Trivial File Transfer Protocol (TFTP) servera se koristi za potpisivanje ITL datoteke.

Kada je Cisco Unified CM klaster ili server u nesigurni režim, ITL datoteka se preuzima na svakom podržanom Cisco IP telefonu. Partner može da prikaže sadržaj ITL datoteke pomoću CLI komande, admin:show itl.

Cisco IP telefonima je potreban ITL fajl za izvršavanje sledećih zadataka:

  • Bezbedno komunicirajte sa CAPF-om, što je preduslov za podršku šifrovanju datoteke za konfiguraciju

  • Potvrda identiteta potpisa datoteke za konfiguraciju

  • Potvrdi verodostojnost servera aplikacija, kao što su EM usluge, direktorijum i MIDlet tokom HTTPS establišmenta pomoću TVS-a

Cisco CTL

Potvrda identiteta uređaja, datoteke i signalizacije oslanja se na kreiranje datoteke liste pouzdanih certifikata (CTL) koja se kreira kada partner ili klijent instalira i konfiguriše klijenta liste pouzdanih certifikata za Cisco.

CTL datoteka sadrži stavke za sledeće servere ili bezbednosne tokene:

  • Bezbednosni simbol administratora sistema (SAST)

  • Cisco CallManager i Cisco TFTP usluge koje rade na istom serveru

  • Proxy funkcija autoriteta za izdavanje certifikata (CAPF)

  • TFTP serveri

  • ASA zaštitni zid

CTL datoteka sadrži certifikat servera, javni ključ, serijski broj, potpis, ime izdavača, ime teme, funkciju servera, DNS ime i IP adresu za svaki server.

Bezbednost telefona sa CTL-om obezbeđuje sledeće funkcije:

  • Potvrda identiteta preuzetih TFTP datoteka (konfiguracija, lokalni standard, lista prstena i tako dalje) pomoću ključa za potpisivanje

  • Šifrovanje TFTP datoteka za konfiguraciju pomoću ključa za potpisivanje

  • Šifrovano pozivanje za IP telefone

  • Šifrovani audio poziv (mediji) za IP telefone

Bezbednost za Cisco IP telefone u rešenju Dedicated Instance

Namenska instanca obezbeđuje registraciju krajnje tačke i obradu poziva. Signalizaciju između Cisco Unified CM i krajnjih tačaka zasniva se na Secure Skinny Client Control Protocol (SCCP) ili Session Initiation Protocol (SIP) i može se šifrovati pomoću usluge Transport Layer Security (TLS). Medij od/do krajnjih tačaka zasnovan je na Protokolu transporta u realnom vremenu (RTP) i takođe se može šifrovati pomoću Secure RTP (SRTP).

Omogućavanje mešovitog režima na Objedinjenom CM-u omogućava šifrovanje signalizacije i medijskog saobraćaja sa i na krajnje tačke Cisco-a.

Bezbedne UC aplikacije

Omogućavanje mešovitog režima u namensku instancu

Mešoviti režim je podrazumevano omogućeno namenske instance.

Omogućavanje mešovitog režima u namenskoj instanci omogućava šifrovanje signalizacije i medijskog saobraćaja sa krajnjih tačaka i na krajnje tačke programa Cisco.

U Cisco Unified CM izdanje 12.5(1), nova opcija za omogućavanje šifrovanja signalizacije i medija zasnovanih na SIP OAuth umesto mešovitog režima / CTL je dodata za Jabber i Webex klijente. Zbog toga se u Objedinjenom CM izdanju 12.5(1), SIP OAuth i SRTP mogu koristiti za omogućavanje šifrovanja za signalizaciju i medije za Jabber ili Webex klijente. Omogućavanje mešovitog režima i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje tačke u ovom trenutku. Postoji plan da se u budućem izdanju doda podrška SIP OAuthu na 7800/8800 krajnjim tačkama.

Bezbednost govornih poruka

Cisco Unity veza se povezuje sa Objedinjenim CM-om preko TLS porta. Kada režim bezbednosti uređaja nije bezbedan, Cisco Unity Connection se povezuje sa objedinjenim CM-om preko SCCP porta.

Da bi konfigurisali bezbednost za Objedinjene CM portove za razmenu glasovnih poruka i Cisco Unity uređaje koji rade pod SCCP ili Cisco Unity Connection uređajima koji rade pod SCCP- om, partner može da odabere bezbedni režim bezbednosti uređaja za port. Ako odaberete potvrđeni port govorne pošte, otvoriće se TLS veza koja potvrdi identitet uređaja pomoću međusobne razmene certifikata (svaki uređaj prihvata certifikat drugog uređaja). Ako odaberete šifrovani port govorne pošte, sistem prvo potvrdi identitet uređaja, a zatim šalje šifrovane tokove glasa između uređaja.

Za više informacija o portovima za razmenu poruka bezbednosnog glasa pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Obezbeđenje za SRST, Prtljažnike, mrežne prolaze, KOCKU/SBC

Cisco objedinjena mobilna telefonija udaljene lokacije (SRST) omogućena za preživljavanje obezbeđuje ograničene zadatke obrade poziva ako Cisco objedinjeni CM u namenskoj instanci ne može da dovrši poziv.

Bezbedni mrežni prolazi sa omogućenim SRST-om sadrže samopotpisani certifikat. Nakon što partner izvrši zadatke konfiguracije SRST-a u opciji "Objedinjena CM administracija", objedinjeni CM koristi TLS vezu za potvrdu identiteta kod usluge dobavljača certifikata u mrežnom prolazu sa omogućenim SRST-om. Objedinjeni CM zatim preuzima certifikat iz mrežnog prolaza sa omogućenim SRST-om i dodaje certifikat u objedinjenu CM bazu podataka.

Nakon što partner uspostavi početne vrednosti zavisnih uređaja u Objedinjenoj CM administraciji, TFTP server dodaje certifikat mrežnog prolaza omogućen za SRST u datoteku telefona cnf.xml i šalje datoteku na telefon. Bezbedni telefon zatim koristi TLS vezu za interakciju sa mrežnim prolazom sa omogućenim SRST-om.

Preporučuje se da imate sigurne prtljažnike za poziv koji potiče od Cisco Unified CM do mrežnog prolaza za odlazne PSTN pozive ili prelazak preko Cisco objedinjenog graničnog elementa (CUBE).

SIP prtljažnici mogu da podrže sigurne pozive kako za signalizaciju, tako i za medije; TLS obezbeđuje šifrovanje signalizacije, a SRTP obezbeđuje šifrovanje medija.

Obezbeđivanje komunikacija između Cisco Unified CM i KOCKE

Za bezbednu komunikaciju između Cisco Unified CM i CUBE, partneri/klijenti moraju da koriste samopotpisani certifikat ili CA potpisane certifikate.

Za samopotpisane certifikate:

  1. CUBE i Cisco Unified CM generišu samopotpisane sertifikate

  2. KOCKA izvozi sertifikat u Cisco Unified CM

  3. Cisco Unified CM izvozi sertifikat u CUBE

Za certifikate potpisane sa CA:

  1. Klijent generiše ključni par i šalje zahtev za potpisivanje certifikata (CSR) autoritetu za izdavanje certifikata (CA)

  2. CA ga potpisuje svojim privatnim ključem, stvarajući certifikat identiteta

  3. Klijent instalira listu pouzdanih CA vrhovnih i posredničkih certifikata i certifikat identiteta

Bezbednost za udaljene krajnje tačke

Pomoću krajnjih tačaka mobilnog i daljinskog pristupa (MRA) signalizacije i medija uvek se šifruju između MRA krajnjih tačaka i čvorova Expressway. Ako se protokol interaktivnog uspostavljanja veze (ICE) koristi za MRA krajnje tačke, potrebno je signalizaciju i šifrovanje medija mrA krajnjih tačaka. Međutim, šifrovanje signalizacije i medija između Expressway-C i internih Objedinjenih CM servera, unutrašnjih krajnjih tačaka ili drugih internih uređaja, zahteva mešoviti režim ili SIP OAuth.

Cisco Expressway obezbeđuje bezbedan zaštitni zid i podršku na liniji za objedinjene CM registracije. Objedinjeni CM obezbeđuje kontrolu poziva i za mobilne i za lokalne krajnje tačke. Signalizacijom se prelazi Expressway rešenje između udaljene krajnje tačke i objedinjenog CM-a. Mediji prelaze preko rešenja Ekspresveja i prenose se direktno između krajnjih tačaka. Svi mediji su šifrovani između Expressway-C i mobilne krajnje tačke.

Svako MRA rešenje zahteva Expressway i Unified CM, sa mekim klijentima kompatibilnim sa MRA i/ili fiksnim krajnjim tačkama. Rešenje opcionalno može da sadrži uslugu za hitnem porukama i uslugu prisustva i vezu jedinstva.

Rezime protokola

Sledeća tabela prikazuje protokole i pridružene usluge koje se koriste u objedinjenom CM rešenju.

Tabela 1. Protokoli i prateće usluge

Protokol

Bezbednost

Usluga

SIP

TLS

Uspostavljanje sesije: Registrujte se, pozovi itd.

HTTPS

TLS

Prijavljivanje, Obezbeđivanje/Konfiguracija, Direktorijum, Vizuelna govorna pošta

Mediji

SRTP

Media: Audio, video zapisi, deljenje sadržaja

XMPP

TLS

Razmena trenutnih poruka, prisustvo, federacija

Više informacija o MRA konfiguraciji potražite u članku: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opcije konfiguracije

Namenska instanca obezbeđuje partneru fleksibilnost da prilagodi usluge krajnjim korisnicima putem potpune kontrole konfiguracija drugog dana. Kao rezultat toga, Partner je odgovoran isključivo za odgovarajuću konfiguraciju usluge Namenske instance za okruženje krajnjeg korisnika. To uključuje, ali ne ograničavajući se na:

  • Izbor bezbednih/nebezbednih poziva, bezbednih/neobezbeđenih protokola kao što su SIP/sSIP, http/https itd i razumevanje bilo kakvih povezanih rizika.

  • Za sve MAC adrese koje nisu konfigurisane kao secure-SIP u namenskoj instanci, napadač može da pošalje poruku SIP Registrujući se koristeći tu MAC adresu i da bude u mogućnosti da uputi SIP pozive, što rezultira prevarom sa putarinom. Perkvizit je da napadač može da registruje svoj SIP uređaj/softver u Namensku instancu bez ovlašćenja ako zna MAC adresu uređaja registrovanog u namenskoj instanci.

  • Smernice za pozive Expressway-E, pravila transformacije i pretrage treba da se konfigurišu da bi se sprečile prevare sa putarinom. Za više informacija o sprečavanju prevare sa putarinom pomoću Expressways-a pogledajte Security for Expressway C i Expressway-E deo saradnje SRND.

  • Konfiguracija plana biranja kako bi se obezbedilo da korisnici mogu da biraju samo odredišta koja su dozvoljena, npr. zabranjuje nacionalno/međunarodno biranje, da se hitni pozivi pravilno usmeravaju itd. Više informacija o primeni ograničenja pomoću plana biranja potražite u odeljku "Plan biranja" usluge Collaboration SRND.

Zahtevi sertifikata za bezbedne veze u namensku instancu

Na namenskoj instanci, Cisco će obezbediti domen i potpisati sve certifikate za UC aplikacije koristeći javni autoritet za izdavanje certifikata (CA).

Namenska instanca – brojevi portova i protokoli

Sledeće tabele opisuju portove i protokole koji su podržani u namenskoj instanci. Portovi koji se koriste za datog kupca zavise od primene i rešenja kupca. Protokoli zavise od željenih opcija kupca (SCCP u poređenju SIP), postojećih u objektu uređaja i nivoa bezbednosti da bi se utvrdilo koji portovi će se koristiti pri svakoj primeni.

Namenska instanca ne dozvoljava prevođenje mrežne adrese (NAT) između krajnjih tačci Unified CM jer neke od funkcija toka poziva neće funkcionisati, na primer, funkcija tokom poziva.

Namenska instanca – Portovi kupaca

Portovi dostupni za kupce - između "Kupac u prostorijama" i "Namenska instanca" prikazani su u portovima namenskih instanci kupca tabele1 . Svi dole navedeni portovi su za promet klijenata koji prelazi preko vršnjačkih veza.

SNMP port je podrazumevano otvoren da bi Cisco Emergency Responder podržao njegovu funkcionalnost. Pošto ne podržavamo partnere ili klijente koji nadgledaju UC aplikacije raspoređene u oblaku rešenja Dedicated Instance, ne dozvoljavamo otvaranje porta SNMP za bilo koju drugu UC aplikaciju.

Portovi u opsegu 5063 do 5080 rezervišu Cisco za druge integracije, partnere ili administratore kupaca preporučuje se da ne koriste ove portove u njihovim konfiguracijama.

Tabela 2. Portovi kupca namenske instance

Protokol

TCP/UDP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

SSH

TCP

Klijent

UC aplikacije

Nije dozvoljeno Cisco Expressway aplikacijama.

Veće od 1023

22

Administracija

TFTP

UDP

Krajnja tačka

Unified CM

Veće od 1023

69

Zastarela podrška krajnje tačke

LDAP

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

389

Sinhronizacija direktorijuma sa LDAP klijentima

HTTPS

TCP

Pregledača

UC aplikacije

Veće od 1023

443

Web pristup za brigu o sebi i administrativne interfejse

Izlazna pošta (BEZBEDNA)

TCP

UC aplikacija

CUCxn

Veće od 1023

587

Koristi se za pisanje i slanje bezbednih poruka svim imenovanim primaocima

LDAP (BEZBEDNO)

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

636

Sinhronizacija direktorijuma sa LDAP klijentima

H323

TCP

Prolaz

Unified CM

Veće od 1023

1720

Pozivanje signalizacije

H323

TCP

Unified CM

Unified CM

Veće od 1023

1720

Pozivanje signalizacije

SCCP

TCP

Krajnja tačka

Objedinjeni CM, CUCxn

Veće od 1023

2000

Pozivanje signalizacije

SCCP

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

2000

Pozivanje signalizacije

MGCP

UDP

Prolaz

Prolaz

Veće od 1023

2427

Pozivanje signalizacije

MGCP Backhaul

TCP

Prolaz

Unified CM

Veće od 1023

2428

Pozivanje signalizacije

SCCP (BEZBEDNO)

TCP

Krajnja tačka

Objedinjeni CM, CUCxn

Veće od 1023

2443

Pozivanje signalizacije

SCCP (BEZBEDNO)

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

2443

Pozivanje signalizacije

Verifikacija poverenja

TCP

Krajnja tačka

Unified CM

Veće od 1023

2445

Pružanje usluge provere pouzdanosti krajnjim tačkama

CTI

TCP

Krajnja tačka

Unified CM

Veće od 1023

2748

Veza između CTI aplikacija (JTAPI/TSP) i CTIManagera

Bezbedni CTI

TCP

Krajnja tačka

Unified CM

Veće od 1023

2749

Bezbedna veza između CTI aplikacija (JTAPI/TSP) i CTIManagera

LDAP globalni katalog

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

3268

Sinhronizacija direktorijuma sa LDAP klijentima

LDAP globalni katalog

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

3269

Sinhronizacija direktorijuma sa LDAP klijentima

CAPF usluga

TCP

Krajnja tačka

Unified CM

Veće od 1023

3804

Port za slušanje proxy funkcije autoriteta za izdavanje lokalno značajnih certifikata (LSC) IP telefonima

SIP

TCP

Krajnja tačka

Objedinjeni CM, CUCxn

Veće od 1023

5060

Pozivanje signalizacije

SIP

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

5060

Pozivanje signalizacije

SIP (BEZBEDNO)

TCP

Krajnja tačka

Unified CM

Veće od 1023

5061

Pozivanje signalizacije

SIP (BEZBEDNO)

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

5061

Pozivanje signalizacije

SIP (OAUTH)

TCP

Krajnja tačka

Unified CM

Veće od 1023

5090

Pozivanje signalizacije

XMPP

TCP

Jabber klijent

Cisco IM&P

Veće od 1023

5222

Neposredna razmena poruka i prisustvo

HTTP

TCP

Krajnja tačka

Unified CM

Veće od 1023

6970

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnja tačka

Unified CM

Veće od 1023

6971

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnja tačka

Unified CM

Veće od 1023

6972

Preuzimanje konfiguracije i slika na krajnje tačke

HTTP

TCP

Jabber klijent

CUCxn

Veće od 1023

7080

Obaveštenja govorne pošte

HTTPS

TCP

Jabber klijent

CUCxn

Veće od 1023

7443

Bezbedna obaveštenja govorne pošte

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7501

Koristi ga Usluga pronalaženja među naznakama (ILS) za potvrdu identiteta zasnovanu na certifikatu

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7502

Koristi ilS za potvrdu identiteta zasnovanu na lozinki

IMAP

TCP

Jabber klijent

CUCxn

Veće od 1023

7993

IMAP preko TLS-a

HTTP

TCP

Krajnja tačka

Unified CM

Veće od 1023

8080

Podrška URI zastarele krajnje tačke

HTTPS

TCP

Browser, Endpoint

UC aplikacije

Veće od 1023

8443

Web pristup za brigu o sebi i administrativne interfejse, UDS

HTTPS

TCP

Telefon

Unified CM

Veće od 1023

9443

Potvrđena pretraga kontakata

HTT-ovi

TCP

Krajnja tačka

Unified CM

Veće od 1023

9444

Funkcija upravljanja slušalicom

Bezbedan RTP/SRTP

Udp

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

Bezbedan RTP/SRTP

Udp

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

KOBRA

TCP

Klijent

CUCxn

Veće od 1023

20532

Napravite rezervnu kopije i vratite paket aplikacije

ICMP

ICMP

Krajnja tačka

UC aplikacije

n. p.

n. p.

Ping

ICMP

ICMP

UC aplikacije

Krajnja tačka

n. p.

n. p.

Ping
DNS UDP i TCP

DNS prosleđivanja

Serveri namenske DNS instance

Veće od 1023

 53

Lokalno DNS korisnika prosleđivanja na Dedicated Instance DNS serverima. Više DNS za više informacija.

* Određeni posebni slučajevi mogu koristiti veći opseg.

Namenska instanca – OTT portovi

Kupci i partneri za podešavanje mobilnog uređaja Remote Access (MRA) mogu da koriste sledeći port:

Sto 3. Port za OTT

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

BEZBEDAN RTP/RTCP

Udp

Expressway C

Klijent

Veće od 1023

36000-59999

Bezbedni mediji za MRA i B2B pozive

Međuoplane SIP stablo između multitenanta i dedicated Instance (samo za prenosnik zasnovan na registraciji)

Sledeća lista portova mora da bude dozvoljena na zaštitnom zidu kupca da bi se SIP stablo povezali između multitenanta i namenske instance.

Sto 4. Port za magistrale zasnovane na registraciji

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

RTP/RTCP

UDP

Webex Calling za više korisnika

Klijent

Veće od 1023

8000-48198

Mediji od Webex Calling više korisnika

Namenska instanca – UCCX portovi

Sledeću listu portova mogu da koriste klijenti i partneri za konfigurisanje UCCX-a.

Sto 5. Cisco UCCX portovi

Protokol

TCP / UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

SSH

TCP

Klijent

UCCX

Veće od 1023

22

SFTP i SSH

Informix

TCP

Klijent ili server

UCCX

Veće od 1023

1504

Port baze podataka contact Center Express

SIP

UDP i TCP

SIP GW ili MCRP server

UCCX

Veće od 1023

5065

Komunikacija sa udaljenim GW i MCRP čvorovima

XMPP

TCP

Klijent

UCCX

Veće od 1023

5223

Bezbedna XMPP veza između Finesse servera i prilagođenih aplikacija nezavisnih proizvođača

CVD

TCP

Klijent

UCCX

Veće od 1023

6999

Uređivač u CCX aplikacije

HTTPS

TCP

Klijent

UCCX

Veće od 1023

7443

Bezbedna BOSH veza između Finesse servera i agenta i supervizora za komunikaciju preko HTTPS-a

HTTP

TCP

Klijent

UCCX

Veće od 1023

8080

Klijenti za izveštavanje uživo povezuju se na priključak. IO server

HTTP

TCP

Klijent

UCCX

Veće od 1023

8081

Pregledač klijenta pokušava da pristupi veb interfejsu Cisco Unified Intelligence Center

HTTP

TCP

Klijent

UCCX

Veće od 1023

8443

Administratorski grafički interfejs, RTCP, DB pristup preko SOAP

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8444

Cisco Unified Intelligence Center web interfejs

HTTPS

TCP

Klijenti pregledača i REST-a

UCCX

Veće od 1023

8445

Bezbedna luka za Finesse

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8447

HTTPS - Pomoć objedinjene obaveštajne službe na mreži

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8553

Komponente za jedinstveno prijavljivanje (SSO) pristupaju ovom interfejsu da bi se stekle operativnog statusa Cisco IdS-a.

HTTP

TCP

Klijent

UCCX

Veće od 1023

9080

Klijenti koji pokušavaju da pristupe HTTP okidačima ili dokumentima / odzivima / gramatici / podacima uživo.

HTTPS

TCP

Klijent

UCCX

Veće od 1023

9443

Bezbedan port koji se koristi za odgovaranje klijentima koji pokušavaju da pristupe HTTPS okidačima

TCP

TCP

Klijent

UCCX

Veće od 1023

12014

Ovo je port na kom klijenti za izveštavanje o podacima uživo mogu da se povežu na priključak. IO server

TCP

TCP

Klijent

UCCX

Veće od 1023

12015

Ovo je port na kom klijenti za izveštavanje o podacima uživo mogu da se povežu na priključak. IO server

CTI

TCP

Klijent

UCCX

Veće od 1023

12028

Nezavisni klijent CTI CCX

RTP(Mediji)

TCP

Krajnja tačka

UCCX

Veće od 1023

Veće od 1023

Port za medije se po potrebi otvara dinamički

RTP(Mediji)

TCP

Klijent

Krajnja tačka

Veće od 1023

Veće od 1023

Port za medije se po potrebi otvara dinamički

Bezbednost klijenta

Obezbeđivanje Jabber-a i Webex-a sa SIP OAuth-om

Klijenti za jabber i Webex su potvrđeni putem OAuth tokena umesto lokalno značajnog certifikata (LSC), koji ne zahteva omogućavanje proxy funkcije autoriteta za izdavanje certifikata (CAPF). SIP OAuth koji radi sa ili bez mešovitog režima uveden je u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

U Cisco Unified CM 12.5 imamo novu opciju u Profilu bezbednosti telefona koja omogućava šifrovanje bez LSC/CAPF, koristeći single Transport Layer Security (TLS) + OAuth token u SIP REGISTER-u. Expressway-C čvorovi koriste API administrativne XML Web usluge (AXL) da bi obavestili Cisco Unified CM o SN/SAN u svom certifikatu. Cisco Unified CM koristi ove informacije za proveru valjanosti Exp-C certifikata prilikom uspostavljanja međusobne TLS veze.

SIP OAuth omogućava šifrovanje medija i signalizacije bez certifikata krajnje tačke (LSC).

Cisco Jabber koristi Efemeralne portove i bezbedne portove 6971 i 6972 portove putem HTTPS veze sa TFTP serverom za preuzimanje konekcionih datoteka. Port 6970 je nesiguran port za preuzimanje preko HTTP-a.

Više detalja o SIP OAuth konfiguraciji: SIP OAuth režim.

DNS zahtevi

Za dedicated Instance Cisco obezbeđuje FQDN za uslugu u svakom regionu u sledećem formatu. wxc-di.webex.com, na primer, xyz.amer.wxc-di.webex.com.

Vrednost "kupac" obezbeđuje administrator kao deo čarobnjaka za instalaciju prvog puta (FTSW). Za više informacija pogledajte aktivaciju usluge namenske instance.

DNS zapisi za ovaj FQDN moraju biti rešavani sa internog DNS servera klijenta da bi se podržali uređaji koji se povezuju sa namenskom instancom. Da bi olakšao rešavanje, klijent mora da konfiguriše uslovni prosleđivanje za ovaj FQDN na svom DNS serveru koji pokazuje na DNS uslugu namenske instance. Usluga Dedicated Instance DNS je regionalna i može se dostići putem ravnopravne mreže do namenske instance koristeći sledeće IP adrese navedene u donjoj tabeli Dedicated Instance DNS uslugu IP adresu.

Sto 6. IP adresa namenske instance DNS usluge

Region/DC

IP adresa namenske instance DNS usluge

Primer uslovnog prosleđivanja

AMER

 <customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

AMS

178.215.138.228

Evropska unija

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Greh

103.232.71.100

TKY

103.232.71.228

AUS

 <customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Sid

178.215.128.228

Opcija pinga je onemogućena za gore pomenute IP adrese DNS servera iz bezbednosnih razloga.

Dok uslovno prosleđivanje ne bude postavljeno, uređaji neće moći da se registruju u namensku instancu sa interne mreže klijenata putem peering linkova. Uslovno prosleđivanje nije neophodno za registraciju putem mobilnog i daljinskog pristupa (MRA), jer će sve potrebne spoljne DNS zapise za olakšavanje MRA unapred obezbediti Cisco.

Kada koristite Webex aplikaciju kao mekog klijenta za pozivanje u namenskoj instanci, UC Manager profil mora biti konfigurisan u kontrolnom čvorištu za domen glasovne usluge (VSD) svakog regiona. Za više informacija pogledajte profile UC Managera u Cisco Webex kontrolnom čvorištu. Webex aplikacija će moći automatski da reši Expressway Edge kupca bez intervencije krajnjeg korisnika.

Domen glasovne usluge će biti dostavljen kupcu kao deo dokumenta o pristupu partneru kada se aktivacija usluge dovrši.

Koristi lokalni ruter za rezoluciju DNS telefona

Za telefone koji nemaju pristup korporativnim DNS serverima, moguće je da koristite lokalni Cisco ruter za prosleđivanje DNS zahteve na cloud DNS dedicated Instance. Ovo uklanja potrebe za primenu lokalne DNS server i pruža punu DNS uključujući keširanje.

Primer konfiguracije :

!

ip dns server

Ip name-server

!

Iskorišćenost DNS u ovoj model instalacije specifična za telefone i može se koristiti samo za rešavanje FQDN-ova sa domenom iz namenske instance kupaca.

Rezolucija DNS telefona