Network requirements for Dedicated Instance

Webex Pozivanje namenske instance je deo Cisco Cloud Calling portfolija, koji napaja tehnologija saradnje Cisco Unified Communications Manager (Cisco Unified CM). Namenska instanca nudi glasovna, video, rešenja za razmenu poruka i mobilnost sa funkcijama i prednostima Cisco IP telefona, mobilnih uređaja i desktop klijenata koji se bezbedno povezuju sa namenskom instancom.

Ovaj članak je namenjen administratorima mreže, posebno administratorima zaštitnog zida i proxy bezbednosti koji žele da koriste namensku instancu unutar svoje organizacije.

Security overview: Security in layers

Namenska instanca koristi slojevit pristup za bezbednost. Slojevi obuhvataju:

  • Fizički pristup

  • Mreža

  • Krajnje tačke

  • UC aplikacije

Sledeći odeljci opisuju slojeve bezbednosti u raspoređivanju namenske instance.

Physical security

Važno je obezbediti fizičko obezbeđenje lokacijama Equinix Meet-Me room i objektima Cisco Dedicated Instance Data Center. Kada je fizičko obezbeđenje ugroženo, mogu se pokrenuti jednostavni napadi kao što je prekid usluge isključivanjem napajanja na prekidače klijenta. Uz fizički pristup, napadači bi mogli da dobiju pristup serverima, resetuju lozinke i dobiju pristup prekidačima. Fizički pristup takođe olakšava sofisticiranije napade kao što su napadi čoveka u sredini, zbog čega je drugi bezbednosni sloj, bezbednost mreže, kritičan.

Disk jedinice za samostalno šifrovanje koriste se u data centrima namenske instance koji hostuje UC aplikacije.

For more information about general security practices, refer to the documentation at the following location: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Network security

Partneri moraju da obezbede da svi mrežni elementi budu obezbeđeni u namenskoj infrastrukturi instance (koja se povezuje preko Equinix-a). Odgovornost partnera je da obezbedi sigurnost najboljih praksi kao što su:

  • Zaseban VLAN za glas i podatke

  • Omogući bezbednost porta koja ograničava broj MAC adresa koje su dozvoljene po luci, u odnosu na poplave CAM tabele

  • IP izvorna garda protiv lažnih IP adresa

  • Dinamička ARP inspekcija (DAI) ispituje protokol rešavanja adrese (ARP) i zahvalni ARP (GARP) za prekršaje (protiv ARP obmane)

  • 802. ograničava1x mrežni pristup autentifikaciji uređaja na dodeljenim VLAN-om (telefoni podržavaju 802.1x)

  • Konfiguracija kvaliteta usluge (QoS) za odgovarajuće obeležavanje glasovnih paketa

  • Konfiguracije portova zaštitnog zida za blokiranje bilo kog drugog saobraćaja

Endpoints security

Cisco krajnje tačke podržavaju podrazumevane bezbednosne funkcije kao što su potpisani firmver, bezbedno pokretanje sistema (izabrani modeli), instalirani certifikat proizvođača (MIC) i potpisane datoteke konfiguracije, koje obezbeđuju određeni nivo bezbednosti za krajnje tačke.

Pored toga, partner ili klijent mogu da omoguće dodatnu bezbednost, kao što su:

  • Šifriraj usluge IP telefona (putem HTTPS-a) za usluge kao što je Extension Mobility

  • Izdavanje lokalno značajnih certifikata (LSC) iz proxy funkcije autoriteta za izdavanje certifikata (CAPF) ili javnog autoriteta za izdavanje certifikata (CA)

  • Šifriraj datoteke za konfiguraciju

  • Šifrovanje medija i signalizacije

  • Onemogući ove postavke ako se ne koriste: PC port, PC Voice VLAN Access, Gratuitous ARP, Web Access, Settings button, SSH, konzola

Primena bezbednosnih mehanizama u namenskoj instanci sprečava krađu identiteta telefona i Objedinjeni CM server, neovlašćeno menjanje podataka i neovlašćeno pozivanje / neovlašćeno menjanje protoka medija.

Posvećena instanca preko mreže:

  • Uspostavlja i održava potvrđene tokove komunikacije

  • Digitalno potpisuje datoteke pre nego što prenese datoteku na telefon

  • Šifruje tokove medija i poziva na signalizaciju između Cisco Objedinjenih IP telefona

Default security setup

Bezbednost podrazumevano obezbeđuje sledeće funkcije automatske bezbednosti za Cisco Objedinjene IP telefone:

  • Potpisivanje datoteka za konfiguraciju telefona

  • Podrška za šifrovanje datoteke za konfiguraciju telefona

  • HTTPS sa Tomcatom i drugim Web uslugama (MIDlets)

Za objedinjeni CM Release 8.0 kasnije, ove bezbednosne funkcije su podrazumevano obezbeđene bez pokretanja klijenta liste pouzdanih certifikata (CTL).

Trust verification service

S obzirom na to da postoji veliki broj telefona u mreži i IP telefoni imaju ograničenu memoriju, Cisco Unified CM deluje kao udaljeno skladište poverenja preko Usluge provere poverenja (TVS) tako da skladište poverenja certifikata ne mora da se stavi na svaki telefon. Cisco IP telefoni se kontaktiraju sa TVS serverom radi provere jer ne mogu da provere potpis ili certifikat putem CTL ili ITL datoteka. Lakše je upravljati centralnom pouzdanom prodavnicom nego imati pouzdanu prodavnicu na svakom Cisco Objedinjenom IP telefonu.

TVS omogućava Cisco Objedinjenim IP telefonima da tokom HTTPS establišmenta potvrde identitet servera aplikacija, kao što su EM usluge, direktorijum i MIDlet.

Initial trust list

Datoteka Initial Trust List (ITL) se koristi za početnu bezbednost, tako da krajnje tačke mogu da veruju Cisco objedinjenom CM-u. ITL-u nisu potrebne nikakve bezbednosne funkcije da bi bio omogućen izričito. ITL datoteka se automatski kreira kada se klaster instalira. Privatni ključ objedinjenog CM Trivial File Transfer Protocol (TFTP) servera se koristi za potpisivanje ITL datoteke.

Kada je Cisco Unified CM klaster ili server u nesigurni režim, ITL datoteka se preuzima na svakom podržanom Cisco IP telefonu. Partner može da prikaže sadržaj ITL datoteke pomoću CLI komande, admin:show itl.

By default, the partner admin is granted Level 1 access for CLI. Refer to About CLI for more information and to see which commands are allowed at Level 1.

Cisco IP telefonima je potreban ITL fajl za izvršavanje sledećih zadataka:

  • Bezbedno komunicirajte sa CAPF-om, što je preduslov za podršku šifrovanju datoteke za konfiguraciju

  • Potvrda identiteta potpisa datoteke za konfiguraciju

  • Potvrdi verodostojnost servera aplikacija, kao što su EM usluge, direktorijum i MIDlet tokom HTTPS establišmenta pomoću TVS-a

Cisco CTL

Potvrda identiteta uređaja, datoteke i signalizacije oslanja se na kreiranje datoteke liste pouzdanih certifikata (CTL) koja se kreira kada partner ili klijent instalira i konfiguriše klijenta liste pouzdanih certifikata za Cisco.

CTL datoteka sadrži stavke za sledeće servere ili bezbednosne tokene:

  • Bezbednosni simbol administratora sistema (SAST)

  • Cisco CallManager i Cisco TFTP usluge koje rade na istom serveru

  • Proxy funkcija autoriteta za izdavanje certifikata (CAPF)

  • TFTP serveri

  • ASA zaštitni zid

CTL datoteka sadrži certifikat servera, javni ključ, serijski broj, potpis, ime izdavača, ime teme, funkciju servera, DNS ime i IP adresu za svaki server.

Bezbednost telefona sa CTL-om obezbeđuje sledeće funkcije:

  • Potvrda identiteta preuzetih TFTP datoteka (konfiguracija, lokalni standard, lista prstena i tako dalje) pomoću ključa za potpisivanje

  • Šifrovanje TFTP datoteka za konfiguraciju pomoću ključa za potpisivanje

  • Šifrovano pozivanje za IP telefone

  • Šifrovani audio poziv (mediji) za IP telefone

Security for Cisco IP Phones in Dedicated Instance

Namenska instanca obezbeđuje registraciju krajnje tačke i obradu poziva. Signalizaciju između Cisco Unified CM i krajnjih tačaka zasniva se na Secure Skinny Client Control Protocol (SCCP) ili Session Initiation Protocol (SIP) i može se šifrovati pomoću usluge Transport Layer Security (TLS). Medij od/do krajnjih tačaka zasnovan je na Protokolu transporta u realnom vremenu (RTP) i takođe se može šifrovati pomoću Secure RTP (SRTP).

Omogućavanje mešovitog režima na Objedinjenom CM-u omogućava šifrovanje signalizacije i medijskog saobraćaja sa i na krajnje tačke Cisco-a.

Secure UC applications

Enabling mixed mode in Dedicated Instance

Mixed mode is enabled by default in Dedicated Instance.

Omogućavanje mešovitog režima u namenskoj instanci omogućava šifrovanje signalizacije i medijskog saobraćaja sa krajnjih tačaka i na krajnje tačke programa Cisco.

U Cisco Unified CM izdanje 12.5(1), nova opcija za omogućavanje šifrovanja signalizacije i medija zasnovanih na SIP OAuth umesto mešovitog režima / CTL je dodata za Jabber i Webex klijente. Zbog toga se u Objedinjenom CM izdanju 12.5(1), SIP OAuth i SRTP mogu koristiti za omogućavanje šifrovanja za signalizaciju i medije za Jabber ili Webex klijente. Omogućavanje mešovitog režima i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje tačke u ovom trenutku. Postoji plan da se u budućem izdanju doda podrška SIP OAuthu na 7800/8800 krajnjim tačkama.

Voice messaging security

Cisco Unity veza se povezuje sa Objedinjenim CM-om preko TLS porta. Kada režim bezbednosti uređaja nije bezbedan, Cisco Unity Connection se povezuje sa objedinjenim CM-om preko SCCP porta.

Da bi konfigurisali bezbednost za Objedinjene CM portove za razmenu glasovnih poruka i Cisco Unity uređaje koji rade pod SCCP ili Cisco Unity Connection uređajima koji rade pod SCCP- om, partner može da odabere bezbedni režim bezbednosti uređaja za port. Ako odaberete potvrđeni port govorne pošte, otvoriće se TLS veza koja potvrdi identitet uređaja pomoću međusobne razmene certifikata (svaki uređaj prihvata certifikat drugog uređaja). Ako odaberete šifrovani port govorne pošte, sistem prvo potvrdi identitet uređaja, a zatim šalje šifrovane tokove glasa između uređaja.

For more information on Security Voice messaging ports, see Voice-Messaging Security section of Security Guide for Cisco Unified Communications Manager.

Obezbeđenje za SRST, Prtljažnike, mrežne prolaze, KOCKU/SBC

Cisco objedinjena mobilna telefonija udaljene lokacije (SRST) omogućena za preživljavanje obezbeđuje ograničene zadatke obrade poziva ako Cisco objedinjeni CM u namenskoj instanci ne može da dovrši poziv.

Bezbedni mrežni prolazi sa omogućenim SRST-om sadrže samopotpisani certifikat. Nakon što partner izvrši zadatke konfiguracije SRST-a u opciji "Objedinjena CM administracija", objedinjeni CM koristi TLS vezu za potvrdu identiteta kod usluge dobavljača certifikata u mrežnom prolazu sa omogućenim SRST-om. Objedinjeni CM zatim preuzima certifikat iz mrežnog prolaza sa omogućenim SRST-om i dodaje certifikat u objedinjenu CM bazu podataka.

Nakon što partner uspostavi početne vrednosti zavisnih uređaja u Objedinjenoj CM administraciji, TFTP server dodaje certifikat mrežnog prolaza omogućen za SRST u datoteku telefona cnf.xml i šalje datoteku na telefon. Bezbedni telefon zatim koristi TLS vezu za interakciju sa mrežnim prolazom sa omogućenim SRST-om.

Preporučuje se da imate sigurne prtljažnike za poziv koji potiče od Cisco Unified CM do mrežnog prolaza za odlazne PSTN pozive ili prelazak preko Cisco objedinjenog graničnog elementa (CUBE).

SIP prtljažnici mogu da podrže sigurne pozive kako za signalizaciju, tako i za medije; TLS obezbeđuje šifrovanje signalizacije, a SRTP obezbeđuje šifrovanje medija.

Securing communications between Cisco Unified CM and CUBE

Za bezbednu komunikaciju između Cisco Unified CM i CUBE, partneri/klijenti moraju da koriste samopotpisani certifikat ili CA potpisane certifikate.

Za samopotpisane certifikate:

  1. CUBE i Cisco Unified CM generišu samopotpisane sertifikate

  2. KOCKA izvozi sertifikat u Cisco Unified CM

  3. Cisco Unified CM izvozi sertifikat u CUBE

Za certifikate potpisane sa CA:

  1. Klijent generiše ključni par i šalje zahtev za potpisivanje certifikata (CSR) autoritetu za izdavanje certifikata (CA)

  2. CA ga potpisuje svojim privatnim ključem, stvarajući certifikat identiteta

  3. Klijent instalira listu pouzdanih CA vrhovnih i posredničkih certifikata i certifikat identiteta

Security for remote endpoints

Pomoću krajnjih tačaka mobilnog i daljinskog pristupa (MRA) signalizacije i medija uvek se šifruju između MRA krajnjih tačaka i čvorova Expressway. Ako se protokol interaktivnog uspostavljanja veze (ICE) koristi za MRA krajnje tačke, potrebno je signalizaciju i šifrovanje medija mrA krajnjih tačaka. Međutim, šifrovanje signalizacije i medija između Expressway-C i internih Objedinjenih CM servera, unutrašnjih krajnjih tačaka ili drugih internih uređaja, zahteva mešoviti režim ili SIP OAuth.

Cisco Expressway obezbeđuje bezbedan zaštitni zid i podršku na liniji za objedinjene CM registracije. Objedinjeni CM obezbeđuje kontrolu poziva i za mobilne i za lokalne krajnje tačke. Signalizacijom se prelazi Expressway rešenje između udaljene krajnje tačke i objedinjenog CM-a. Mediji prelaze preko rešenja Ekspresveja i prenose se direktno između krajnjih tačaka. Svi mediji su šifrovani između Expressway-C i mobilne krajnje tačke.

Svako MRA rešenje zahteva Expressway i Unified CM, sa mekim klijentima kompatibilnim sa MRA i/ili fiksnim krajnjim tačkama. Rešenje opcionalno može da sadrži uslugu za hitnem porukama i uslugu prisustva i vezu jedinstva.

Protocol summary

Sledeća tabela prikazuje protokole i pridružene usluge koje se koriste u objedinjenom CM rešenju.

Table 1. Protokoli i prateće usluge

Protokol

Bezbednost

Usluga

SIP

TLS

Uspostavljanje sesije: Registrujte se, pozovi itd.

HTTPS

TLS

Prijavljivanje, Obezbeđivanje/Konfiguracija, Direktorijum, Vizuelna govorna pošta

Mediji

SRTP

Media: Audio, video zapisi, deljenje sadržaja

XMPP

TLS

Razmena trenutnih poruka, prisustvo, federacija

Više informacija o MRA konfiguraciji potražite u članku: MRA Deployment Scenarios section of Mobile and Remote Access Through Cisco Expressway Deployment Guide.

Opcije konfiguracije

Namenska instanca obezbeđuje partneru fleksibilnost da prilagodi usluge krajnjim korisnicima putem potpune kontrole konfiguracija drugog dana. Kao rezultat toga, Partner je odgovoran isključivo za odgovarajuću konfiguraciju usluge Namenske instance za okruženje krajnjeg korisnika. To uključuje, ali ne ograničavajući se na:

  • Izbor bezbednih/nebezbednih poziva, bezbednih/neobezbeđenih protokola kao što su SIP/sSIP, http/https itd i razumevanje bilo kakvih povezanih rizika.

  • Za sve MAC adrese koje nisu konfigurisane kao secure-SIP u namenskoj instanci, napadač može da pošalje poruku SIP Registrujući se koristeći tu MAC adresu i da bude u mogućnosti da uputi SIP pozive, što rezultira prevarom sa putarinom. Perkvizit je da napadač može da registruje svoj SIP uređaj/softver u Namensku instancu bez ovlašćenja ako zna MAC adresu uređaja registrovanog u namenskoj instanci.

  • Smernice za pozive Expressway-E, pravila transformacije i pretrage treba da se konfigurišu da bi se sprečile prevare sa putarinom. Za više informacija o sprečavanju prevare sa putarinom pomoću Expressways-a pogledajte Security for Expressway C i Expressway-E deo saradnje SRND.

  • Dial plan configuration to ensure users can only dial destinations that are permitted e.g., prohibit national/international dialing, emergency calls are routed properly etc. For more information on applying restrictions using dial plan refer to Dial Plan section of Collaboration SRND.

Certificate requirements for secure connections in Dedicated Instance

Na namenskoj instanci, Cisco će obezbediti domen i potpisati sve certifikate za UC aplikacije koristeći javni autoritet za izdavanje certifikata (CA).

Dedicated Instance – port numbers and protocols

Sledeće tabele opisuju portove i protokole koji su podržani u namenskoj instanci. Ports that are used for a given customer depend on the Customer’s deployment and solution. Protocols depend on the customer’s preference (SCCP vs SIP), existing on-premises devices and what level of security to determine which ports are to be used in each deployment.

Dedicated Instance doesn't allow Network Address Translation (NAT) between endpoints and Unified CM as some of the call flow features won't work, for example the mid-call feature.

Namenska instanca – Portovi kupaca

Portovi dostupni za kupce - između "Kupac u prostorijama" i "Namenska instanca" prikazani su u portovima namenskih instanci kupca tabele1 . Svi dole navedeni portovi su za promet klijenata koji prelazi preko vršnjačkih veza.

SNMP port is open by default only for Cisco Emergency Responder to support its functionality. As we don’t support partners or customers monitoring the UC applications deployed in the Dedicated Instance cloud, we don’t allow opening of SNMP port for any other UC applications.

The SNMP port is enabled for the Singlewire (Informacast) application (only for Unified CM application). When submitting a request, make sure that the IP addresses associated with the Singlewire application are explicitly mentioned in the Reason to allow section of the request. Refer to Raise Service Request for more information.

Ports in the range 5063–5080 are reserved by Cisco for other cloud integrations, partner, or customer administrators are recommended not to use these ports in their configurations.

Tabela 2. Dedicated Instance Customer ports

Protokol

TCP/UDP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

SSH

TCP

Klijent

UC aplikacije

Not allowed for Cisco Expressway applications.

Veće od 1023

22

Administracija

TFTP

UDP

Krajnja tačka

Unified CM

Veće od 1023

69

Legacy Endpoint Support

LDAP

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

389

Sinhronizacija direktorijuma sa LDAP klijentima

HTTPS

TCP

Pregledača

UC aplikacije

Veće od 1023

443

Web pristup za brigu o sebi i administrativne interfejse

Izlazna pošta (BEZBEDNA)

TCP

UC aplikacija

CUCxn

Veće od 1023

587

Koristi se za pisanje i slanje bezbednih poruka svim imenovanim primaocima

LDAP (BEZBEDNO)

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

636

Sinhronizacija direktorijuma sa LDAP klijentima

H323

TCP

Mrežni prolaz

Unified CM

Veće od 1023

1720

Pozivanje signalizacije

H323

TCP

Unified CM

Unified CM

Veće od 1023

1720

Pozivanje signalizacije

SCCP

TCP

Krajnja tačka

Objedinjeni CM, CUCxn

Veće od 1023

2000

Pozivanje signalizacije

SCCP

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

2000

Pozivanje signalizacije

MGCP

UDP

Mrežni prolaz

Mrežni prolaz

Veće od 1023

2427

Pozivanje signalizacije

MGCP Backhaul

TCP

Mrežni prolaz

Unified CM

Veće od 1023

2428

Pozivanje signalizacije

SCCP (BEZBEDNO)

TCP

Krajnja tačka

Objedinjeni CM, CUCxn

Veće od 1023

2443

Pozivanje signalizacije

SCCP (BEZBEDNO)

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

2443

Pozivanje signalizacije

Verifikacija poverenja

TCP

Krajnja tačka

Unified CM

Veće od 1023

2445

Pružanje usluge provere pouzdanosti krajnjim tačkama

CTI

TCP

Krajnja tačka

Unified CM

Veće od 1023

2748

Veza između CTI aplikacija (JTAPI/TSP) i CTIManagera

Bezbedni CTI

TCP

Krajnja tačka

Unified CM

Veće od 1023

2749

Bezbedna veza između CTI aplikacija (JTAPI/TSP) i CTIManagera

LDAP globalni katalog

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

3268

Sinhronizacija direktorijuma sa LDAP klijentima

LDAP globalni katalog

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

3269

Sinhronizacija direktorijuma sa LDAP klijentima

CAPF usluga

TCP

Krajnja tačka

Unified CM

Veće od 1023

3804

Port za slušanje proxy funkcije autoriteta za izdavanje lokalno značajnih certifikata (LSC) IP telefonima

SIP

TCP

Krajnja tačka

Objedinjeni CM, CUCxn

Veće od 1023

5060

Pozivanje signalizacije

SIP

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

5060

Pozivanje signalizacije

SIP (BEZBEDNO)

TCP

Krajnja tačka

Unified CM

Veće od 1023

5061

Pozivanje signalizacije

SIP (BEZBEDNO)

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

5061

Pozivanje signalizacije

SIP (OAUTH)

TCP

Krajnja tačka

Unified CM

Veće od 1023

5090

Pozivanje signalizacije

XMPP

TCP

Jabber klijent

Cisco IM&P

Veće od 1023

5222

Neposredna razmena poruka i prisustvo

HTTP

TCP

Krajnja tačka

Unified CM

Veće od 1023

6970

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnja tačka

Unified CM

Veće od 1023

6971

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnja tačka

Unified CM

Veće od 1023

6972

Preuzimanje konfiguracije i slika na krajnje tačke

HTTP

TCP

Jabber klijent

CUCxn

Veće od 1023

7080

Obaveštenja govorne pošte

HTTPS

TCP

Jabber klijent

CUCxn

Veće od 1023

7443

Bezbedna obaveštenja govorne pošte

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7501

Koristi ga Usluga pronalaženja među naznakama (ILS) za potvrdu identiteta zasnovanu na certifikatu

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7502

Koristi ilS za potvrdu identiteta zasnovanu na lozinki

IMAP

TCP

Jabber klijent

CUCxn

Veće od 1023

7993

IMAP preko TLS-a

HTTP

TCP

Krajnja tačka

Unified CM

Veće od 1023

8080

Directory URI for Legacy Endpoint Support

HTTPS

TCP

Browser, Endpoint

UC aplikacije

Veće od 1023

8443

Web pristup za brigu o sebi i administrativne interfejse, UDS

HTTPS

TCP

Telefon

Unified CM

Veće od 1023

9443

Potvrđena pretraga kontakata

HTTPs

TCP

Krajnja tačka

Unified CM

Veće od 1023

9444

Headset Management Feature

Bezbedan RTP/SRTP

Udp

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

Bezbedan RTP/SRTP

Udp

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

COBRAS

TCP

Klijent

CUCxn

Veće od 1023

20532

Back up and Restore Application Suite

ICMP

ICMP

Krajnja tačka

UC aplikacije

n. p.

n. p.

Ping

ICMP

ICMP

UC aplikacije

Krajnja tačka

n. p.

n. p.

Ping
DNS UDP i TCP

DNS forwarder

Dedicated Instance DNS servers

Veće od 1023

 53

Customer Premise DNS forwarders to Dedicated Instance DNS servers. See DNS requirements for more information.

* Određeni posebni slučajevi mogu koristiti veći opseg.

Dedicated Instance – OTT ports

The following port can be used by Customers and Partners for Mobile and Remote Access (MRA) setup:

Sto 3. Port for OTT

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

BEZBEDAN RTP/RTCP

Udp

Expressway C

Klijent

Veće od 1023

36000-59999

Bezbedni mediji za MRA i B2B pozive

Inter-op SIP trunk between Multitenant and Dedicated Instance (only for registration-based trunk)

The following list of ports needs to be allowed on the customer's firewall for the registration-based SIP trunk connecting between the Multitenant and Dedicated Instance.

Table 4. Port for registration-based trunks

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

RTP/RTCP

UDP

Webex Calling Multitenant

Klijent

Veće od 1023

8000-48198

Media from Webex Calling Multitenant

Dedicated Instance – UCCX ports

Sledeću listu portova mogu da koriste klijenti i partneri za konfigurisanje UCCX-a.

Sto 5. Cisco UCCX portovi

Protokol

TCP / UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

SSH

TCP

Klijent

UCCX

Veće od 1023

22

SFTP i SSH

Informix

TCP

Klijent ili server

UCCX

Veće od 1023

1504

Contact Center Express database port

SIP

UDP i TCP

SIP GW ili MCRP server

UCCX

Veće od 1023

5065

Komunikacija sa udaljenim GW i MCRP čvorovima

XMPP

TCP

Klijent

UCCX

Veće od 1023

5223

Bezbedna XMPP veza između Finesse servera i prilagođenih aplikacija nezavisnih proizvođača

CVD

TCP

Klijent

UCCX

Veće od 1023

6999

Uređivač u CCX aplikacije

HTTPS

TCP

Klijent

UCCX

Veće od 1023

7443

Bezbedna BOSH veza između Finesse servera i agenta i supervizora za komunikaciju preko HTTPS-a

HTTP

TCP

Klijent

UCCX

Veće od 1023

8080

Live-data reporting clients connect to a socket.IO server

HTTP

TCP

Klijent

UCCX

Veće od 1023

8081

Pregledač klijenta pokušava da pristupi veb interfejsu Cisco Unified Intelligence Center

HTTP

TCP

Klijent

UCCX

Veće od 1023

8443

Admin GUI, RTMT, DB access over SOAP

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8444

Cisco Unified Intelligence Center web interfejs

HTTPS

TCP

Klijenti pregledača i REST-a

UCCX

Veće od 1023

8445

Bezbedna luka za Finesse

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8447

HTTPS - Pomoć objedinjene obaveštajne službe na mreži

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8553

Single sign-on (SSO) components access this interface to know the operating status of Cisco IdS.

HTTP

TCP

Klijent

UCCX

Veće od 1023

9080

Klijenti koji pokušavaju da pristupe HTTP okidačima ili dokumentima / odzivima / gramatici / podacima uživo.

HTTPS

TCP

Klijent

UCCX

Veće od 1023

9443

Bezbedan port koji se koristi za odgovaranje klijentima koji pokušavaju da pristupe HTTPS okidačima

TCP

TCP

Klijent

UCCX

Veće od 1023

12014

This is the port where live-data reporting clients can connect to the socket.IO server

TCP

TCP

Klijent

UCCX

Veće od 1023

12015

This is the port where live-data reporting clients can connect to the socket.IO server

CTI

TCP

Klijent

UCCX

Veće od 1023

12028

Third-party CTI client to CCX

RTP(Mediji)

TCP

Krajnja tačka

UCCX

Veće od 1023

Veće od 1023

Port za medije se po potrebi otvara dinamički

RTP(Mediji)

TCP

Klijent

Krajnja tačka

Veće od 1023

Veće od 1023

Port za medije se po potrebi otvara dinamički

Client security

Obezbeđivanje Jabber-a i Webex-a sa SIP OAuth-om

Klijenti za jabber i Webex su potvrđeni putem OAuth tokena umesto lokalno značajnog certifikata (LSC), koji ne zahteva omogućavanje proxy funkcije autoriteta za izdavanje certifikata (CAPF). SIP OAuth working with or without mixed mode was introduced in Cisco Unified CM 12.5(1) and later, Jabber 12.5 and later, and Expressway X12.5.

In Cisco Unified CM 12.5 and later, we have a new option in Phone Security Profile that enables encryption without LSC/CAPF, using single Transport Layer Security (TLS) + OAuth token in SIP REGISTER. Expressway-C čvorovi koriste API administrativne XML Web usluge (AXL) da bi obavestili Cisco Unified CM o SN/SAN u svom certifikatu. Cisco Unified CM koristi ove informacije za proveru valjanosti Exp-C certifikata prilikom uspostavljanja međusobne TLS veze.

SIP OAuth omogućava šifrovanje medija i signalizacije bez certifikata krajnje tačke (LSC).

Cisco Jabber koristi Efemeralne portove i bezbedne portove 6971 i 6972 portove putem HTTPS veze sa TFTP serverom za preuzimanje konekcionih datoteka. Port 6970 je nesiguran port za preuzimanje preko HTTP-a.

Više detalja o SIP OAuth konfiguraciji: SIP OAuth Mode.

DNS requirements

Za namensku instancu Cisco obezbeđuje FQDN za uslugu u svakom regionu sa sledećim formatom <customer>.<region>. wxc-di.webex.com, na primer, xyz.amer.wxc-di.webex.com.

Vrednost "kupac" obezbeđuje administrator kao deo čarobnjaka za instalaciju prvog puta (FTSW). Za više informacija pogledajte aktivaciju usluge namenske instance.

DNS zapisi za ovaj FQDN moraju biti rešavani sa internog DNS servera klijenta da bi se podržali uređaji koji se povezuju sa namenskom instancom. Da bi olakšao rešavanje, klijent mora da konfiguriše uslovni prosleđivanje za ovaj FQDN na svom DNS serveru koji pokazuje na DNS uslugu namenske instance. The Dedicated Instance DNS service is regional and can be reached, via the peering to Dedicated Instance, using the following IP addresses as mentioned in the below table Dedicated Instance DNS Service IP Address.

Sto 6. IP adresa namenske instance DNS usluge

Region/DC

IP adresa namenske instance DNS usluge

Primer uslovnog prosleđivanja

AMER

 <customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

AMS

178.215.138.228

Evropska unija

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Greh

103.232.71.100

TKY

103.232.71.228

AUS

 <customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Sid

178.215.128.228

UK

 <customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

MAN

178.215.135.228

KSA

 <customer>.sa.wxc-di.webex.com

JED

 178.215.140.100

RHU

 178.215.140.228

Opcija pinga je onemogućena za gore pomenute IP adrese DNS servera iz bezbednosnih razloga.

Dok uslovno prosleđivanje ne bude postavljeno, uređaji neće moći da se registruju u namensku instancu sa interne mreže klijenata putem peering linkova. Uslovno prosleđivanje nije neophodno za registraciju putem mobilnog i daljinskog pristupa (MRA), jer će sve potrebne spoljne DNS zapise za olakšavanje MRA unapred obezbediti Cisco.

Kada koristite Webex aplikaciju kao mekog klijenta za pozivanje u namenskoj instanci, UC Manager profil mora biti konfigurisan u kontrolnom čvorištu za domen glasovne usluge (VSD) svakog regiona. Za više informacija pogledajte profile UC Managera u Cisco Webex kontrolnom čvorištu. Webex aplikacija će moći automatski da reši Expressway Edge kupca bez intervencije krajnjeg korisnika.

Domen glasovne usluge će biti dostavljen kupcu kao deo dokumenta o pristupu partneru kada se aktivacija usluge dovrši.

Use a local router for phone DNS resolution

For phones that don’t have access to the corporate DNS servers, it’s possible to use a local Cisco router to forward DNS requests to the Dedicated Instance cloud DNS. This removes the need to deploy a local DNS server and provides full DNS support including caching.

Example configuration :

!

ip dns server

ip name-server <DI DNS Server IP DC1> <DI DNS Server IP DC2>

!

The DNS usage in this deployment model is specific to phones and can only be used to resolve FQDN’s with the domain from the customers Dedicated Instance.

Phone DNS resolution