Mrežni zahtevi za namenski termin

Webex Calling Dedicated Instance je deo Cisco Cloud Calling portfolija, koji se zasniva na Cisco Unified Communications Manager (Cisco Unified CM) tehnologiji saradnje. Dedicated Instance nudi rešenja za glasovne, video, poruke i mobilnost sa karakteristikama i prednostima Cisco IP telefona, mobilnih uređaja i desktop klijenata koji se bezbedno povezuju sa Dedicated Instance.

Ovaj članak je namenjen administratorima mreže, posebno administratorima za zaštitu zaštitnog zida i proksija koji žele da koriste namenski termin u okviru svoje organizacije. Ovaj dokument se prvenstveno fokusira na mrežne zahteve i bezbednost za Dedicated Instance rešenje, uključujući slojevit pristup funkcijama i funkcionalnostima koje obezbeđuju bezbedan fizički pristup, bezbednu mrežu, bezbedne krajnje tačke i bezbedne Cisco UC aplikacije.

Pregled bezbednosti: Bezbednost u slojevima

Posvećena instanca koristi slojevit pristup za bezbednost. Slojevi obuhvataju:

  • Fizički pristup

  • Mreža

  • Krajnje tačke

  • UC aplikacije

Sledeći odeljci opisuju slojeve bezbednosti u raspoređivanju namenskih instanci.

Fizička sigurnost

Važno je obezbediti fizičku bezbednost lokacija Equinix Meet-Me Room i objekata Cisco Dedicated Instance Data Center. Kada je fizička bezbednost ugrožena, mogu se pokrenuti jednostavni napadi kao što je prekid servisa isključivanjem struje na prekidačima kupca. Sa fizičkim pristupom, napadači bi mogli da dobiju pristup serverskim uređajima, resetovanje lozinki i pristup prekidačima. Fizički pristup takođe olakšava sofisticiranije napade kao što su napadi „čovek u sredini“, zbog čega je drugi bezbednosni sloj, bezbednost mreže, kritičan.

Samo-šifrujući pogoni se koriste u namenskim instancnim data centrima koji hostuju UC aplikacije.

Za više informacija o opštim bezbednosnim praksama, pogledajte dokumentaciju na sledećoj lokaciji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Mrežna bezbednost

Partneri moraju da obezbede da svi elementi mreže budu obezbeđeni u infrastrukturi namenske instance (koja se povezuje preko Equinix-a). Odgovornost partnera je da obezbedi najbolje bezbednosne prakse kao što su:

  • Zaseban VLAN za glas i podatke

  • Omogućite bezbednost porta koja ograničava broj dozvoljenih MAC adresa po portu, protiv poplave kamerne tabele

  • Zaštita IP izvora od lažnih IP adresa

  • Dynamic ARP Inspection (DAI) ispituje protokol za rešavanje adresa (ARP) i besplatni ARP (GARP) za prekršaje (protiv ARP varanja)

  • 802.1x ograničava pristup mreži za autentifikaciju uređaja na dodeljenim VLAN uređajima (telefoni podržavaju 802.1x)

  • Konfiguracija kvaliteta usluge (QoS) za odgovarajuće obeležavanje glasovnih paketa

  • Konfiguracije portova zaštitnih zidova za blokiranje bilo kog drugog saobraćaja

Obezbeđenje krajnjih tačaka

Cisco krajnje tačke podržavaju podrazumevane bezbednosne funkcije kao što su potpisani firmver, bezbedno pokretanje (odabrani modeli), proizvođački instalirani sertifikat (MIC) i potpisane konfiguracione datoteke, koje pružaju određeni nivo bezbednosti za krajnje tačke.

Pored toga, partner ili kupac mogu da omoguće dodatnu bezbednost, kao što su:

  • Šifrujte IP telefonske usluge (preko HTTPS-a) za usluge kao što je Proširenje mobilnosti

  • Izdavanje lokalno značajnih sertifikata (LSC) od funkcije punomoćnika sertifikata (CAPF) ili javnog sertifikacionog organa (CA)

  • Šifruj konfiguracione fajlove

  • Šifruj medije i signalizaciju

  • Onemogućite ova podešavanja ako se ne koriste: PC port, PC Voice VLAN Access, Gratuitous ARP, Web Access, Settings button, SSH, console

Implementacija bezbednosnih mehanizama u namenskoj instanci sprečava krađu identiteta telefona i Unified CM servera, neovlašćeno unošenje podataka i neovlašćeno pozivanje / tok medija.

Namenska instanca preko mreže:

  • Uspostavlja i održava autentifikovane komunikacione tokove

  • Digitalno potpisuje datoteke pre prebacivanja datoteke na telefon

  • Šifruje medijske tokove i signal poziva između Cisco Unified IP telefona

Podrazumevano podešavanje bezbednosti

Bezbednost podrazumevano obezbeđuje sledeće automatske bezbednosne funkcije za Cisco Unified IP telefone:

  • Potpisivanje konfiguracionih datoteka telefona

  • Podrška za šifrovanje fajlova za konfiguraciju telefona

  • HTTPS sa Tomcat i drugim veb servisima (MIDlets)

Za Unified CM Release 8.0 kasnije, ove bezbednosne funkcije su podrazumevano obezbeđene bez pokretanja Liste poverenja sertifikata (CTL) klijenta.

Služba za verifikaciju povjerenja

Pošto postoji veliki broj telefona u mreži i IP telefoni imaju ograničenu memoriju, Cisco Unified CM deluje kao udaljena prodavnica poverenja preko servisa za verifikaciju poverenja (TVS) tako da prodavnica poverenja sertifikata ne mora da bude postavljena na svaki telefon. Cisco IP telefoni kontaktiraju TVS server radi verifikacije jer ne mogu da verifikuju potpis ili sertifikat preko CTL ili ITL datoteka. Lakše je upravljati centralnom prodavnicom poverenja nego imati prodavnicu poverenja na svakom Cisco Unified IP telefonu.

TELEVIZORI omogućavaju Cisco Unified IP telefonima da potvrde autentičnost aplikacionih servera, kao što su EM servisi, direktorijum i MIDlet, tokom HTTPS uspostavljanja.

Početna lista poverenja

Datoteka Inicijalna lista poverenja (ITL) se koristi za inicijalnu bezbednost, tako da krajnje tačke mogu da veruju Cisco Unified CM. ITL-u nisu potrebne nikakve bezbednosne funkcije da bi bio eksplicitno omogućen. ITL datoteka se automatski kreira kada je klaster instaliran. Za potpisivanje ITL datoteke koristi se privatni ključ servera Unified CM Trivial File Transfer Protocol (TFTP).

Kada je Cisco Unified CM klaster ili server u nebezbednom režimu, ITL datoteka se preuzima na svaki podržani Cisco IP telefon. Partner može da vidi sadržaj ITL datoteke pomoću naredbe CLI, admin:show itl.

Cisco IP telefonima je potrebna ITL datoteka za obavljanje sledećih zadataka:

  • Bezbedno komunicirajte sa CAPF-om, što je preduslov za podršku šifrovanja konfiguracione datoteke

  • Potvrdi autentičnost potpisa konfiguracionog fajla

  • Autentifikacija servera aplikacija, kao što su EM servisi, direktorijum i MIDlet tokom uspostavljanja HTTPS-a pomoću TELEVIZORA

Cisco CTL

Autentifikacija uređaja, datoteke i signalizacije se oslanja na kreiranje datoteke Liste poverenja sertifikata (CTL), koja se kreira kada partner ili klijent instalira i konfiguriše klijenta Liste poverenja sertifikata Cisco.

CTL datoteka sadrži unose za sledeće servere ili bezbednosne žetone:

  • Znak za bezbednost administratora sistema (SAST)

  • Cisco CallManager i Cisco TFTP servisi koji rade na istom serveru

  • Funkcija punomoćja za sertifikate (CAPF)

  • TFTP serveri

  • Protupožarni zid tužioca

CTL datoteka sadrži sertifikat servera, javni ključ, serijski broj, potpis, ime izdavaoca, ime subjekta, funkciju servera, DNS ime i IP adresu za svaki server.

Bezbednost telefona sa CTL-om pruža sledeće funkcije:

  • Autentifikacija preuzetih TFTP datoteka (konfiguracija, lokalna, ringlista i tako dalje) pomoću tastera za potpisivanje

  • Šifrovanje TFTP konfiguracionih fajlova pomoću tastera za potpisivanje

  • Šifrovana signalizacija poziva za IP telefone

  • Šifrovani audio poziv (mediji) za IP telefone

Bezbednost za Cisco IP telefone u namenskoj instanci

Namenska instanca pruža registraciju krajnje tačke i obradu poziva. Signalizacija između Cisco Unified CM i krajnjih tačaka zasnovana je na Secure Skinny Client Control Protocol (SCCP) ili Session Initiation Protocol (SIP) i može se šifrovati pomoću Transport Layer Security (TLS). Medijum od/do krajnjih tačaka se zasniva na Protokolu transporta u realnom vremenu (RTP) i takođe se može šifrovati pomoću Secure RTP (SRTP).

Omogućavanje mešovitog režima na Unified CM omogućava šifrovanje signalizacije i medijskog saobraćaja od i do Cisco krajnjih tačaka.

Bezbedne UC aplikacije

Omogućavanje mešovitog režima u namenskoj instanci

Mešoviti režim nije podrazumevano omogućen u namenskoj instanci.

Omogućavanje mešovitog režima u namenskoj instanci omogućava mogućnost vršenja enkripcije signalizacije i medijskog saobraćaja od i do krajnjih tačaka Cisco-a.

U Cisco Unified CM izdanju 12.5(1), za Jabber i Webex klijente dodata je nova opcija omogućavanja šifrovanja signalizacije i medija na osnovu SIP OAuth umesto mešovitog režima / CTL. Stoga se u Unified CM izdanju 12.5(1) SIP OAuth i SRTP mogu koristiti za omogućavanje enkripcije za signalizaciju i medije za Jabber ili Webex klijente. Omogućavanje mešovitog režima i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje tačke u ovom trenutku. Postoji plan za dodavanje podrške za SIP OAuth u 7800/8800 krajnjih tačaka u budućem izdanju.

Bezbednost glasovne poruke

Cisco Unity Connection se povezuje sa Unified CM preko TLS porta. Kada bezbednosni režim uređaja nije bezbedan, Cisco Unity Connection se povezuje sa Unified CM preko SCCP porta.

Da biste konfigurisali bezbednost za Unified CM portove za glasovne poruke i Cisco Unity uređaje koji pokreću SCCP ili Cisco Unity Connection uređaje koji pokreću SCCP, partner može da izabere bezbednosni režim bezbednog uređaja za port. Ako izaberete autentifikovani port za govornu poštu, otvara se TLS veza, koja autentifikuje uređaje uzajamnom razmenom sertifikata (svaki uređaj prihvata sertifikat drugog uređaja). Ako izaberete šifrovani port za govornu poštu, sistem prvo proverava autentičnost uređaja, a zatim šalje šifrovane glasovne tokove između uređaja.

Za više informacija o portovima za glasovne poruke o bezbednosti, pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Obezbeđenje za SRST, Trunks, Gateways, CUBE/SBC

Cisco Unified Survivable Remote Site Telephony (SRST) omogućava pristupnik koji pruža ograničene zadatke obrade poziva ako Cisco Unified CM na namenskoj instanci ne može da završi poziv.

Sigurnosni SRST pristupnici sadrže samopotpisani sertifikat. Nakon što partner izvrši zadatke konfiguracije SRST-a u Unified CM administraciji, Unified CM koristi TLS konekciju za autentifikaciju sa uslugom Pružaoca sertifikata u SRST-u. Unified CM zatim preuzima sertifikat sa SRST-a i dodaje sertifikat u Unified CM bazu podataka.

Nakon što partner resetira zavisne uređaje u Unified CM administraciji, TFTP server dodaje SRST-u omogućen gateway sertifikat u cnf.xml datoteku telefona i šalje datoteku na telefon. Bezbedan telefon zatim koristi TLS vezu za interakciju sa SRST pristupnikom.

Preporučuje se da imate bezbedna debla za poziv koji potiče od Cisco Unified CM do ulaza za odlazne PSTN pozive ili koji se kreću kroz Cisco Unified Border Element (CUBE).

SIP debla mogu podržati sigurne pozive i za signalizaciju i za medije; TLS obezbeđuje signalizaciju enkripcije i SRTP obezbeđuje medijsku enkripciju.

Obezbeđivanje komunikacija između Cisco Unified CM i CUBE

Za bezbednu komunikaciju između Cisco Unified CM i CUBE-A, partneri/kupci moraju da koriste ili samopotpisani sertifikat ili CA-potpisane sertifikate.

Za samopotpisane sertifikate:

  1. CUBE i Cisco Unified CM generišu samopotpisane sertifikate

  2. KOCKA izvozi sertifikat u Cisco Unified CM

  3. Cisco Unified CM izvozi sertifikat na KOCKU

Za sertifikate sa CA potpisom:

  1. Klijent generiše par ključeva i šalje Zahtev za potpisivanje sertifikata (CSR) organu za sertifikate (CA)

  2. CA ga potpisuje svojim privatnim ključem, kreirajući sertifikat o identitetu

  3. Klijent instalira listu pouzdanih CA korenskih i posredničkih sertifikata i sertifikat o identitetu

Obezbeđenje udaljenih krajnjih tačaka

Sa krajnjim tačkama mobilnog i udaljenog pristupa (MRA), signalizacija i mediji su uvek šifrovani između krajnjih tačaka MRA i čvorova ekspresnog puta. Ako se protokol Interactive Connectivity Establishment (ICE) koristi za MRA krajnje tačke, potrebna je signalizacija i medijska enkripcija MRA krajnjih tačaka. Međutim, enkripcija signalizacije i medija između Expressway-C i internih Unified CM servera, internih krajnjih tačaka ili drugih internih uređaja zahteva mešoviti režim ili SIP OAuth.

Cisco Expressway obezbeđuje bezbedan zaštitni zid i linijsku podršku za Unified CM registracije. Unified CM obezbeđuje kontrolu poziva i za mobilne i za krajnje tačke na licu mesta. Signalizacija prolazi kroz rešenje brze ceste između udaljene krajnje tačke i Unified CM. Mediji prolaze kroz rešenje brzog puta i direktno se prenose između krajnjih tačaka. Svi mediji su šifrovani između brze ceste-C i mobilne krajnje tačke.

Svako MRA rešenje zahteva Ekspresvej i Unified CM, sa MRA kompatibilnim mekim klijentima i/ili fiksnim krajnjim tačkama. Rešenje po želji može uključivati IM i Presence Service i Unity Connection.

Rezime protokola

Sledeća tabela prikazuje protokole i povezane usluge koje se koriste u Unified CM rešenju.

Tabela 1. Protokoli i povezane usluge

Protokol

Bezbednost

Usluga

SIP

TLS

Osnivanje sesije: Registrujte se, pozovite itd.

HTTPS

TLS

Prijava, Provisioning/Configuration, Directory, Visual Voicemail

Mediji

SRTP

Mediji: Audio, video, deljenje sadržaja

XMPP

TLS

Instant poruke, prisutnost, federacija

Za više informacija o konfiguraciji MRA, pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opcije konfiguracije

Posvećena instanca pruža Partneru fleksibilnost za prilagođavanje usluga za krajnje korisnike kroz potpunu kontrolu konfiguracija drugog dana. Kao rezultat toga, Partner je isključivo odgovoran za pravilnu konfiguraciju usluge Dedicated Instance za okruženje krajnjeg korisnika. To uključuje, ali nije ograničeno na:

  • Odabir bezbednih/nebezbednih poziva, bezbednih/nebezbednih protokola kao što su SIP/sSIP, http/https itd., kao i razumevanje svih povezanih rizika.

  • Za sve MAC adrese koje nisu konfigurisane kao bezbedne-SIP u namenskoj instanci, napadač može da pošalje SIP poruku Registru koristeći tu Mac adresu i da bude u mogućnosti da obavlja SIP pozive, što dovodi do prevare sa naplatom putarine. Preduslov je da napadač može da registruje svoj SIP uređaj/softver na namenski instancu bez odobrenja ako zna Mac adresu uređaja registrovanog u namenski instanci.

  • Pravila brzog poziva, transformacije i pretrage treba da budu konfigurisana kako bi se sprečila prevara sa naplatom putarine. Za više informacija o sprečavanju prevare sa naplatom putarine putem brzih puteva pogledajte odeljak Bezbednost za brzi put C i brzi put E odeljka Saradnja SRND.

  • Konfiguracija plana biranja kako bi se osiguralo da korisnici mogu da biraju samo destinacije koje su dozvoljene, npr. zabrana nacionalnog/međunarodnog biranja, pravilno preusmeravanje poziva za hitne slučajeve itd. Za više informacija o primeni ograničenja pomoću plana biranja pogledajte odeljak Plan biranja u SRND saradnje.

Zahtevi sertifikata za bezbedne veze u namenskoj fazi

Za namenski slučaj, Cisco će obezbediti domen i potpisati sve sertifikate za UC aplikacije koristeći javno telo za sertifikate (CA).

Namjenski termin – brojevi porta i protokoli

Test par.

Sledeće tabele opisuju portove i protokole koji su podržani u namenskoj instanci. Priključci koji se koriste za datog kupca zavise od implementacije i rešenja Klijenta. Protokoli zavise od želje korisnika (SCCP vs SIP), postojećih on-premises uređaja i nivoa bezbednosti kako bi se utvrdilo koje luke će se koristiti u svakoj implementaciji.

Namjenska instanca – portovi kupca

Priključci dostupni kupcima - između prostorija Kupca i namenskih instanci prikazani su u tabeli 1 Priključci namenskih instanci kupaca. Svi dole navedeni portovi su za saobraćaj kupaca koji prelaze preko špijunskih linkova.


SNMP port je podržan samo za CER funkcionalnost, a ne za bilo koje druge alate za praćenje treće strane.


Portove u rasponu od 5063 do 5080 Cisco je rezervisao za druge integracije u oblaku, a partnerima ili administratorima klijenata se preporučuje da ne koriste ove portove u svojim konfiguracijama.

Tabela 2. Portovi namenskih instanci za korisnike

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišna luka

Svrha

SSH

TCP

Klijent

UC aplikacije

Veće od 1023

22

Administracija

LDAP

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

389

Sinhronizacija direktorijuma sa LDAP-om kupca

HTTPS

TCP

Pregledač

UC aplikacije

Veće od 1023

443

Veb pristup za negu samog sebe i administrativne interfejse

LDAP (BEZBEDNO)

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

636

Sinhronizacija direktorijuma sa LDAP-om kupca

SCCP

TCP

Krajnja tačka

Unified CM, CUCxn

Veće od 1023

2000

Signal poziva

SCCP

TCP

Unified CM

Unified CM, Gateway

Veće od 1023

2000

Signal poziva

SCCP (BEZBEDNO)

TCP

Krajnja tačka

Unified CM, CUCxn

Veće od 1023

2443

Signal poziva

SCCP (BEZBEDNO)

TCP

Unified CM

Unified CM, Gateway

Veće od 1023

2443

Signal poziva

Verifikacija poverenja

TCP

Krajnja tačka

Unified CM

Veće od 1023

2445

Pružanje usluge provere poverenja krajnjim tačkama

CTI

TCP

Krajnja tačka

Unified CM

Veće od 1023

2748

Veza između CTI aplikacija (JTAPI/TSP) i CTIManager

Bezbedan CTI

TCP

Krajnja tačka

Unified CM

Veće od 1023

2749

Bezbedna veza između CTI aplikacija (JTAPI/TSP) i CTIManager

LDAP globalni katalog

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

3268

Sinhronizacija direktorijuma sa LDAP-om kupca

LDAP globalni katalog

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

3269

Sinhronizacija direktorijuma sa LDAP-om kupca

Usluga CAPF

TCP

Krajnja tačka

Unified CM

Veće od 1023

3804

Port za prisluškivanje ovlašćenja za sertifikate (CAPF) za izdavanje lokalno značajnih sertifikata (LSC) na IP telefonima

SIP

TCP

Krajnja tačka

Unified CM, CUCxn

Veće od 1023

5060

Signal poziva

SIP

TCP

Unified CM

Unified CM, Gateway

Veće od 1023

5060

Signal poziva

SIP (BEZBEDNO)

TCP

Krajnja tačka

Unified CM

Veće od 1023

5061

Signal poziva

SIP (BEZBEDNO)

TCP

Unified CM

Unified CM, Gateway

Veće od 1023

5061

Signal poziva

SIP (OAUTH)

TCP

Krajnja tačka

Unified CM

Veće od 1023

5090

Signal poziva

XMPP

TCP

Klijent Jabbera

Cisco IM&P

Veće od 1023

5222

Instant poruke i prisutnost

HTTP

TCP

Krajnja tačka

Unified CM

Veće od 1023

6970

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnja tačka

Unified CM

Veće od 1023

6971

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnja tačka

Unified CM

Veće od 1023

6972

Preuzimanje konfiguracije i slika na krajnje tačke

HTTP

TCP

Klijent Jabbera

CUCxn

Veće od 1023

7080

Obaveštenja putem govorne pošte

HTTPS

TCP

Klijent Jabbera

CUCxn

Veće od 1023

7443

Obezbedite obaveštenja putem govorne pošte

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7501

Služba za pretragu međuklastera (ILS) koristi za autentifikaciju zasnovanu na sertifikatima

Izlazna pošta (BEZBEDNO)

TCP

UC aplikacija

CUCxn

Veće od 1023

587

Koristi se za sastavljanje i slanje bezbednih poruka svim određenim primaocima

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7502

Koristi ga ILS za autentifikaciju zasnovanu na lozinkama

IMAP

TCP

Klijent Jabbera

CUCxn

Veće od 1023

7993

IMAP preko TLS-a

HTTPS

TCP

Preglednik, Krajnja tačka

UC aplikacije

Veće od 1023

8443

Veb pristup za negu samog sebe i administrativne interfejse, UDS

HTTPS

TCP

Prem

Unified CM

Veće od 1023

9443

Autentifikovana pretraga kontakata

Bezbedan RTP/SRTP

UDP

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signalizacija)

Bezbedan RTP/SRTP

UDP

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signalizacija)

ICMP

ICMP

Krajnja tačka

UC aplikacije

n. p.

n. p.

Ping

ICMP

ICMP

UC aplikacije

Krajnja tačka

n. p.

n. p.

Ping

* Određeni posebni slučajevi mogu koristiti veći raspon.

Namjenski termin – OTT portovi

Sledeću listu portova mogu da koriste korisnici i partneri za podešavanje mobilnog i udaljenog pristupa (MRA):

Tabela 3. Spisak portova za OTT

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišna luka

Svrha

OBEZBEDITE SIP

TCP

Krajnja tačka

Brzi put E

Veće od 1023

5061

Sigurnosna SIP signalizacija za MRA registraciju i pozive

OBEZBEDITE SIP

TCP

Krajnja tačka/server

Brzi put E

Veće od 1023

5062

Obezbedite SIP za B2B pozive

BEZBEDAN RTP/RTCP

UDP

Krajnja tačka/server

Brzi put E

Veće od 1023

36000-59999

Bezbedni mediji za MRA i B2B pozive

HTTPS (BEZBEDNO)

TLS

Klijent

Brzi put E

Veće od 1023

8443

CUCM UDS i CUCxn REST za MRA pozive

XML ‑ OVI

TLS

Klijent

Brzi put E

Veće od 1023

5222

IM i Prisustvo

OKRENI

UDP

Klijent ZA LED

Brzi put E

Veće od 1023

3478

Pregovori o LEDU/OMAMLJIVANJU/OKRETANJU

BEZBEDAN RTP/RTCP

UPD

Klijent ZA LED

Brzi put E

Veće od 1023

24000-29999

OKRENITE medije za rezervu LEDA

Namjenski termin – UCCX portovi

Sledeću listu portova mogu da koriste Kupci i Partneri za konfiguraciju UCCX-a.

Tabela 4. Cisco UCCX porti

Protokol

TCP / UCP

Izvor

Odredište

Izvorni port

Odredišna luka

Svrha

SSH

TCP

Klijent

UCCX

Veće od 1023

22

SFTP i SSH

Informix

TCP

Klijent ili server

UCCX

Veće od 1023

1504

Unified CCX port baze podataka

SIP

UDP i TCP

SIP GW ili MCRP server

UCCX

Veće od 1023

5065

Komunikacija sa udaljenim GW i MCRP čvorovima

XMPP

TCP

Klijent

UCCX

Veće od 1023

5223

Bezbedna XMPP veza između Finesse servera i prilagođenih aplikacija trećih strana

CVD

TCP

Klijent

UCCX

Veće od 1023

6999

Uređivač u CCX aplikacije

HTTPS

TCP

Klijent

UCCX

Veće od 1023

7443

Bezbedna BOSH veza između Finesse servera i desktop računara agenta i supervizora za komunikaciju preko HTTPS-a

HTTP

TCP

Klijent

UCCX

Veće od 1023

8080

Klijenti koji izveštavaju uživo se povezuju na socket.IO server

HTTP

TCP

Klijent

UCCX

Veće od 1023

8081

Pregledač klijenata pokušava da pristupi veb interfejsu Cisco Unified Intelligence Center

HTTP

TCP

Klijent

UCCX

Veće od 1023

8443

Admin GUI, RTMT, DB pristup putem SAPUNA

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8444

Cisco Unified Intelligence Center veb interfejs

HTTPS

TCP

Klijenti pregledača I REST-A

UCCX

Veće od 1023

8445

Bezbedan ulaz za Finese

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8447

HTTPS - Objedinjeni obaveštajni centar za pomoć na mreži

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8553

Komponente jedinstvenog prijavljivanja (SSO) pristupaju ovom interfejsu kako bi znale radni status Cisco IdS-a.

HTTP

TCP

Klijent

UCCX

Veće od 1023

9080

Klijenti pokušavaju da pristupe http okidačima ili dokumentima / upitima / gramima /podacima uživo.

HTTPS

TCP

Klijent

UCCX

Veće od 1023

9443

Bezbedan port koji se koristi za reagovanje na klijente koji pokušavaju da pristupe HTTPS okidačima

TCP

TCP

Klijent

UCCX

Veće od 1023

12014

Ovo je port gde klijenti koji izveštavaju žive podatke mogu da se povežu na socket.IO server

TCP

TCP

Klijent

UCCX

Veće od 1023

12015

Ovo je port gde klijenti koji izveštavaju žive podatke mogu da se povežu na socket.IO server

CTI

TCP

Klijent

UCCX

Veće od 1023

12028

Treće lice CTI klijent CCX-u

RTP(mediji)

TCP

Krajnja tačka

UCCX

Veće od 1023

Veće od 1023

Medijski port se otvara dinamički po potrebi

RTP(mediji)

TCP

Klijent

Krajnja tačka

Veće od 1023

Veće od 1023

Medijski port se otvara dinamički po potrebi

Obezbeđenje klijenta

Obezbeđivanje Jabber i Webex sa SIP OAuth

Jabber i Webex klijenti se autentifikuju putem OAuth tokena umesto lokalno značajnog sertifikata (LSC), za koji nije potrebna funkcija proksija sertifikata (CAPF) (i za MRA). SIP OAuth koji radi sa ili bez mešovitog režima uveden je u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

U Cisco Unified CM 12.5 imamo novu opciju u Phone Security profilu koja omogućava šifrovanje bez LSC/CAPF, koristeći jedinstveni Transport Layer Security (TLS) + OAuth token u SIP REGISTRU. Ekspresvej-C čvorovi koriste API Administrativnog XML veb servisa (AXL) da obaveste Cisco Unified CM o SN/SAN u svom sertifikatu. Cisco Unified CM koristi ove informacije za validaciju Exp-C sertifikata prilikom uspostavljanja međusobne TLS veze.

SIP OAuth omogućava enkripciju medija i signalizacije bez sertifikata krajnje tačke (LSC).

Cisco Jabber koristi efemerne portove i sigurne portove 6971 i 6972 preko HTTPS veze sa TFTP serverom za preuzimanje konfiguracionih datoteka. Port 6970 je nebezbedan port za preuzimanje preko http-a.

Više detalja o SIP OAuth konfiguraciji: SIP OAuth režim.

DNS zahtevi

Za namenski primer Cisco pruža FQDN za uslugu u svakom regionu u sledećem formatu<customer>. .wxc-di.webex.com<region>, na primer, xyz.amer.wxc-di.webex.com.

Vrednost „kupca“ obezbeđuje administrator kao deo Čarobnjaka za prvo podešavanje (FTSW). Više informacija potražite u poglavlju Aktivacija namenske instance usluge.

DNS zapisi za ovaj FQDN moraju biti rešljivi sa internog DNS servera klijenta kako bi podržali uređaje na licu mesta koji se povezuju sa namenskim instancama. Da bi se olakšalo rešavanje, korisnik mora da konfiguriše Uslovni špediter, za ovaj FQDN, na svom DNS serveru koji pokazuje na DNS uslugu namenske instance. Služba namenske instance DNS je regionalna i može se doći do nje, preko virenja u Službu namenske instance, koristeći sledeće IP adrese kao što je navedeno u donjoj tabeli IP adresa namenske instance DNS usluge.

Tabela 5. IP adresa namenskog DNS servisa

Region/DC

IP adresa namenskog DNS servisa

Primer uslovnog prosleđivanja

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

GRIJEH

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


Ping opcija je onemogućena za gore pomenute DNS serverske IP adrese iz bezbednosnih razloga.

Dok se ne uspostavi uslovno prosleđivanje, uređaji neće moći da se registruju na namenski instancu iz interne mreže korisnika putem virećih linkova. Uslovno prosleđivanje nije potrebno za registraciju putem mobilnog i daljinskog pristupa (MRA), jer će Cisco unapred obezbediti sve potrebne spoljne DNS zapise za olakšavanje MRA.

Kada koristite Webex aplikaciju kao klijent za pozivanje na namenskoj instanci, UC Manager profil mora biti konfigurisan u Kontrolnom čvorištu za domen govorne usluge svakog regiona (VSD). Za više informacija pogledajte Profile menadžera UC u Kontrolnom centru Cisco Webex. Aplikacija Webex će moći automatski da reši ivice ekspresnog puta klijenta bez ikakve intervencije krajnjeg korisnika.


Voice Service Domain će biti obezbeđen klijentu kao deo partnerskog pristupnog dokumenta nakon završetka aktivacije usluge.