Zahtevi mreže za namensku instancu

Webex Calling namenska instanca je deo portfolija Cisco oblak Calling koju pokreće Cisco Unified Communications Manager (Cisco Unified CM) tehnologija saradnje. Namenska instanca nudi rešenja za glas, video, razmenu poruka i mobilnost sa funkcijama i prednostima Cisco IP telefona, mobilnih uređaja i klijenata na radnoj površini koji se bezbedno povezuju sa namenskim instancama.

Ovaj članak je namenjen administratorima mreže, posebno administratorima zaštitnog zida i proxy servera koji žele da koriste namensku instancu u svojoj organizaciji.

Преглед безбе Bezbednost u slojevima

Namenska instanca koristi slojeviti pristup radi bezbednosti. Slojevi obuhvataju:

  • Fizički pristup

  • Mreža

  • Krajnje tačke

  • UC aplikacije

Sledeći odeljci opisuju slojeve bezbednosti u primenama namenske instance.

Fizička bezbednost

Važno je obezbediti fizičku bezbednost lokacijama Equinix Meet-Me sobe i objektima Cisco centra za podatke namenske instance. Kada je fizička bezbednost ugrožena, mogu se pokrenuti jednostavni napadi kao što je prekidanje usluge isklj. Uz fizički pristup, napadači mogu da dobiju pristup uređajima servera, resetuju lozinke i dobiju pristup prekidača. Fizički pristup takođe olakšauje sofisticiranije napade kao što su napadi muškaraca u sredini, zbog čega je drugi nivo bezbednosti, bezbednost mreže, kritičan.

Disk jedinice sa samostalnim šifrovanjem se koriste u centrima podataka namenske instance koji hostovane UC aplikacije.

Za više informacija o opštim bezbednosnim praksama pogledajte dokumentaciju na sledećoj lokaciji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Bezbednost mreže

Partneri moraju da osiguraju da su svi mrežni elementi zaštićeni u infrastrukturi namenske instance (koja se povezuje putem usluge Equinix). Odgovornost partnera je da osigura bezbednost najbolje prakse kao što su:

  • Odvoji VLAN mrežu za glas i podatke

  • Omogućite bezbednost porta koja ograničava broj MAC adresa dozvoljenih po portu, uključujući POPLAVE IZ CAM tabele

  • IP izvorni stražar protiv neoštećenih IP adresa

  • Dinamička ARP inspekcija (DAI) ispituje protokol rezolucije (ARP) i gratuitni ARP (GARP) za kršenje (protiv ARP-a)

  • 802. ograničava1x mrežni pristup potvrdama identiteta uređaja na dodeljenim VLAN mrežama (telefoni podržavaju 802.1x)

  • Konfiguracija kvaliteta usluge (QoS) za odgovarajuće označavanje glasovnih paketa

  • Konfiguracije portova zaštitnog zida za blokiranje bilo kog drugog saobraćaja

Bezbednost krajnjih tastanci

Cisco krajnje tačke podržavaju podrazumevane bezbednosne funkcije kao što su potpisani firmver, bezbedno pokretanje (izabrani modeli), certifikat proizvođača instaliran (MIC) i potpisane datoteke za konfiguraciju, koje pružaju određeni nivo bezbednosti za krajnje tačke.

Pored toga, partner ili kupac mogu da omoguće dodatnu bezbednost, kao što je:

  • Šifrujte IP telefon usluge (putem HTTPS-a) za usluge kao što su Extension Mobility

  • Izdajte lokalno značajne certifikate (LSC)sa funkcija proksija sertifikacionog tela (CAPF) ili javnog autoriteta za izdavanje sertifikata (CA)

  • Šifruj datoteke konfiguracije

  • Šifrovanje medija i signaliziranje

  • Onemogućite ova podešavanja ako se ne koriste: PC priključak, PC Voice VLAN pristup, gratuitous ARP, veb pristup, dugme za podešavanja, SSH, konzola

Primena bezbednosnih mehanizama u namenskim instancama sprečava krađu identiteta telefona i Unified CM server, nesavršavanje podataka i nesačuvanje signala putem poziva / medijskog toka.

Namenska instanca preko mreže:

  • Uspostavlja i održava tok potvrđene komunikacije

  • Digitalno potpisivanje datoteka pre prenosa datoteke na telefon

  • Šifruje medijske strimove i signaliziranje poziva između Cisco Unified IP telefona

Podrazumevano podešavanje bezbednosti

Bezbednost podrazumevano obezbeđuje sledeće automatske funkcije bezbednosti za Cisco Unified IP telefone:

  • Potpisivanje konfiguracija telefona datoteka

  • Podrška za konfiguracija telefona šifrovanju datoteka

  • HTTPS sa Tomcat i veb uslugama (MIDlets)

Za Unified CM izdanje 8.0 kasnije, ove bezbednosne funkcije su podrazumevano obezbeđene bez pokretanja klijenta liste pouzdanih sertifikata (CTL).

Usluga potvrde pouzdanosti

Pošto postoji veliki broj telefona na mreži i IP telefoni imaju ograničenu memoriju, Cisco Unified CM se ponaša kao skladište udaljenog pouzdanosti putem usluge verifikacije pouzdanosti (TVS) tako da skladište pouzdanih sertifikata ne mora da se postavi na svaki telefon. Server Cisco obratite se TVS serveru radi potvrde jer ne mogu da potvrde potpis ili sertifikat putem CTL ili ITL datoteka. Imati centralno skladište pouzdanosti je lakše upravljati, nego imati prodavnicu pouzdanosti na svakom Cisco Unified IP telefon.

TVS omogućava korisnicima Cisco Unified IP telefone da potvrde identitet servera aplikacije, kao što su EM usluge, direktorijum i MIDlet, tokom HTTPS uspostavljanja.

Početna lista poverenja

Datoteka početne pouzdane liste (ITL) se koristi za početnu bezbednost, tako da krajnje tačke mogu da veruju Cisco Unified CM. ITL ne treba da se izričito aktivira nijedna bezbednosna funkcija. ITL datoteka se automatski kreira kada se klaster instalira. Privatni ključ Unified CM Trivial File Transfer Protocol (TFTP) servera se koristi za potpisivanje ITL datoteke.

Kada se Cisco Unified CM klaster ili server ne koriste bezbedni režim, ITL datoteka se preuzima na svim podržanim Cisco IP telefon. Partner može da prikaže sadržaj ITL datoteke koristeći CLI komanda administrator:prikaži itl.

Cisco IP telefonima je potrebna ITL datoteka da bi obavili sledeće zadatke:

  • Bezbedno komunicirajte sa uslugom CAPF, što je preduslov za podršku datoteka sa konfiguracijom šifrovanju

  • Potvrda identiteta datoteka sa konfiguracijom potpisa

  • Potvrdite identitet servera aplikacije, kao što su EM usluge, direktorijum i MIDlet tokom HTTPS uspostavljanja pomoću TELES-a

Cisco CTL

Uređaj, datoteka i signalizacija potvrde identiteta oslanjaju se na kreiranje datoteke liste pouzdanih sertifikata (CTL) koja se kreira kada partner ili kupac instalira i konfiguriše klijent liste pouzdanih Cisco certifikata.

Ova CTL datoteka sadrži stavke za sledeće servere ili bezbednosne tokene:

  • Administrator za bezbednost sistema token (SAST)

  • Cisco CallManager i Cisco TFTP usluge koje rade na istom serveru

  • Certificate Authority proxy funkcije (CAPF)

  • TFTP server(i)

  • ASA zaštitni zid

Stavka CTL datoteka sadrži sertifikat servera javni ključ, serijski broj potpis, ime izdaoca, ime izdaoca, ime subjekta, funkcije servera, DNS ime i IP adresa za svaki server.

Bezbednost telefona pomoću CTL pruža sledeće funkcije:

  • Potvrda identiteta preuzetih datoteka (konfiguracija, lokalni standard, lista zvona itd.) pomoću ključa za potpisivanje

  • Šifrovanje TFTP datoteka za konfiguraciju pomoću ključa za potpisivanje

  • Šifrovano signalizacija poziva za IP telefone

  • Šifrovani zvuk poziva (mediji) za IP telefone

Bezbednost za Cisco IP telefone u namenskim instancama

Namenska instanca pruža registraciju krajnje tačke i obrada poziva. Signalizacija između Cisco Unified CM i krajnjih tačaka se zasniva na bezbednim kontrolni protokol tankog klijenta (SCCP) ili Session Initiation Protocol (SIP) i može se šifrovani pomoću bezbednost transportnog sloja (TLS). Medijski sadržaj od/do krajnjih tačaka zasnovan je na Protokolu transporta u realnom vremenu (RTP) i takođe se može šifrovani pomoću bezbednog RTP (SRTP).

Omogućavanje mešovitog režima Unified CM omogućava šifrovanje signalizacije i medijski saobraćaj sa krajnjih Cisco krajnjih tačaka za sastanke.

Bezbedne UC aplikacije

Omogućavanje mešovitog režima u namensku instancu

Mešoviti režim podrazumevano omogućeno namenskim instancama.

Omogućavanje mešovitog režima u namenskim instancama omogućava šifrovanje signaliziranja i medijski saobraćaj od i do Cisco krajnjih tačaka.

U Cisco Unified CM izdanju 12.5(1), nova opcija za šifrovanje signaliziranja i medija na osnovu SIP OAuth umesto mešovitog režima / CTL je dodat za Jabber i Webex klijente. Stoga se u Unified CM izdanju 12.5(1), SIP OAuth i SRTP mogu koristiti za omogućavanje šifrovanja za signaliziranje i medije za Jabber ili Webex klijente. Omogućavanje mešovitog režima i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje tačke u ovom trenutku. Postoji plan za dodavanje podrške za SIP OAuth u 7800/8800 krajnjim tačkama u budućnosti.

Bezbednost govornih poruka

Cisco Unity Connection se povezuje Unified CM putem TLS porta. Kada režim bezbednosti uređaja nije bezbedan, Cisco Unity Connection se povezuje Unified CM putem SCCP porta.

Da biste konfigurisali bezbednost za Unified CM portove za glasovne poruke i Cisco Unity koji rade sa SCCP ili Cisco Unity Connection uređajima koji koriste SCCP, partner može da izabere bezbedan režim bezbednosti uređaja za priključak. Ako odaberete potvrdu identiteta priključak za govornu poštu, otvara se TLS veza koja potvrđuje identitet uređaja pomoću međusobne razmene sertifikata (svaki uređaj prihvata sertifikat drugog uređaja). Ako odaberete šifrovani priključak za govornu poštu, sistem prvo potvrđuje identitet uređaja, a zatim šalje šifrovane glasovne strimove između uređaja.

Za više informacija o portove za bezbednosne govorne poruke pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Bezbednost za SRST, Trunks, Mrežni prolazi, CUBE/SBC

Mrežni prolaz Cisco omogućeni mrežni prolaz za objedinjenu oplodnju udaljene lokacije (SRST) pruža ograničene zadatke obrade poziva ako Cisco Unified CM na namenskim instancama ne može da dovrši poziv.

Bezbedni mrežni prolazi omogućeni za SRST sadrže samostalno potpisan sertifikat. Nakon što partner obavi zadatke srST konfiguracije u Unified CM Administration, Unified CM koristi TLS vezu za potvrdu identiteta pomoću usluge pružaoca sertifikata u SRST-omogućeni prolaz. Unified CM zatim preuzima sertifikat iz SRST-omogućeni prolaz i dodaje sertifikat u Unified CM bazu podataka.

Nakon što partner resetovanje zavisnih uređaja u Unified CM Administration, TFTP server dodaje SRST-omogućeni prolaz sertifikat u telefonsku cnf.xml datoteku i šalje datoteku telefonu. Bezbedni telefon zatim koristi TLS vezu za interakciju sa uređajima SRST-omogućeni prolaz.

Preporučuje se da imate bezbedne magistrale za poziv koji potiče od Cisco Unified CM do mrežnog prolaza za odlazne PSTN pozive ili prolaze kroz Cisco Unified Border Element (KOCKA).

SIP magistrale mogu da podrže bezbedne pozive kako za signaliziranje, tako i za medije; TLS pruža šifrovanje signalizatora, a SRTP obezbeđuje šifrovanje medija.

Obezbeđivanje komunikacija između Cisco Unified CM i KOCKE

Za bezbednu komunikaciju između Cisco Unified CM i KOCKE, partneri/kupci moraju da koriste sertifikate samostalno potpisan sertifikat ili certifikate potpisane pomoću CA.

Za samopotpisane sertifikate:

  1. CUBE i Cisco Unified CM generišu samopotpisane sertifikate

  2. CUBE izvozi sertifikat u Cisco Unified CM

  3. Cisco Unified CM izvozi sertifikat u KOCKU

Za sertifikate koje je potpisao CA:

  1. Klijent generiše par ključeva i šalje zahtev za potpisivanje sertifikata (CSR) na adresu Certificate Authority (CA)

  2. CA ga potpisivanje svojim privatnim ključem, kreiranjem sertifikata identiteta

  3. Klijent instalira listu pouzdanih CA vrhovnih i međumedijalnih sertifikata i certifikata identiteta

Bezbednost za udaljene krajnje tačke

Pomoću krajnjih tačaka za mobilni Remote Access (MRA), signalizacija i mediji su uvek šifrovani između MRA krajnjih tačaka i Expressway čvorova. Ako se protokol za uspostavljanje interaktivne povezanosti (ICE) koristi za MRA krajnje tačke, signaliziranje i šifrovanje medija krajnjih tačaka MRA. Međutim, za šifrovanje signalizacije i medija između Expressway-C i internih Unified CM servera, internih krajnjih tačaka ili drugih internih uređaja, potreban je mešoviti režim ili SIP OAuth.

Cisco Expressway pruža bezbednu podršku za prenos zaštitnog zida i podršku za linijske Unified CM registracije. Unified CM mobilne kontrola poziva i za u objektu krajnje tačke. Signalizacija prelazi Expressway rešenje između udaljene krajnje tačke i Unified CM. Mediji prelaze preko Expressway rešenja i prenose se direktno između krajnjih tačaka. Svi mediji su šifrovani između Expressway-C i mobilne krajnje tačke.

Bilo koje MRA rešenje zahteva Expressway i Unified CM softverski klijente kompatibilne sa MRA i/ili fiksnim krajnjim tačkama. Rešenje može opcionalno da uključuje razmenu trenutnih poruka i usluga prisustva i Unity vezu.

Rezime protokola

Sledeća tabela prikazuje protokole i povezane usluge koje se koriste u Unified CM rešenju.

Tabela 1. Protokoli i povezane usluge

Protokol

Bezbednost

Usluga

SIP

TLS

Ustanova sesije: Registrujte se, pozovite itd.

HTTPS

TLS

Prijavite se, dodela privilegija/konfiguracija, Direktorijum, vizuelna govorna pošta

Mediji

SRTP

Media: Audio, video, deljenje sadržaja

XMPP

TLS

Trenutne razmena poruka, Prisustvo, federacija

Više informacija o MRA konfiguraciji potražite u: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opcije konfiguracije

Namenska instanca pruža partneru fleksibilnost da prilagodi usluge za krajnje korisnike putem potpune kontrole dana dve konfiguracije. Kao rezultat toga, partner je samo odgovoran za odgovarajuću konfiguraciju usluge namenske instance za krajnji korisnik okruženje korisnika. To uključuje, ali nije ograničeno na:

  • Ako izaberete bezbedne/nebezbrisne pozive, bezbedni/nesigurni protokoli kao što su SIP/sSIP, http/https itd.

  • Za sve MAC adrese koje nisu konfigurisane kao bezbedni SIP u namenskim instancama, napadač može da pošalje poruku SIP registra koristeći taj MAC adresa i može da upućuje SIP pozive, što bi rezultiralo prevarom sa naplatom poziva. Preduslov je da napadač može da registruje svoj SIP uređaj/softver na namensku instancu bez ovlašćenja ako zna MAC adresa uređaja registrovanog u namenoj instanci.

  • Politike poziva Expressway-E, transformisanje i pretraga treba da budu konfigurisani da bi se sprečila prevara sa naplatom poziva. Za više informacija o sprečavanju prevare sa naplatom poziva koristeći Expressway potražite u odeljku Bezbednost za Expressway C i Expressway-E odeljka Collaboration SRND.

  • Konfiguracija plana biranja kako bi se osigurala da korisnici mogu da biraju samo odredišta koja su dozvoljena, npr. zabranjeno nacionalno/međunarodno biranje, hitni pozivi se pravilno usmeravanje itd. Za više informacija o primeni ograničenja pomoću plana biranja pogledajte odeljak Plan biranja usluge Collaboration SRND.

Zahtevi sertifikata za bezbedne veze u namensku instancu

Za namensku instancu, Cisco će obezbediti domen i potpisati sve sertifikate za UC aplikacije koristeći javni Certificate Authority (CA).

Namenska instanca – brojevi portova i protokoli

Sledeće tabele opisuju portove i protokole koji su podržani u namenskim instancama. Portovi koji se koriste za datog kupca zavise od primene i rešenja kupca. Protokoli zavise od željenih opcija kupca (SCCP u poređenju SIP), postojećih u objektu uređaja i nivoa bezbednosti da bi se utvrdilo koji portovi će se koristiti pri svakoj primeni.


 

Namenska instanca ne dozvoljava prevođenje mrežne adrese (NAT) između krajnjih tačci Unified CM jer neke od funkcija toka poziva neće funkcionisati, na primer, funkcija tokom poziva.

Namenska instanca – portovi kupca

Portovi dostupni kupcima – između prozora kupca u objektu i namenske instance prikazani su u portove kupaca namenske instance iz tabele 1. Svi dole navedeni portovi su za saobraćaj kupca koji prelaže ravnoplasne veze.


 

SNMP port je podrazumevano otvoren da bi Cisco Emergency Responder podržao njegovu funkcionalnost. Pošto ne podržavamo partnere ili klijente koji nadgledaju UC aplikacije raspoređene u oblaku rešenja Dedicated Instance, ne dozvoljavamo otvaranje porta SNMP za bilo koju drugu UC aplikaciju.


 

Portovi u opsegu 5063 do 5080 rezervišu Cisco za druge integracije, partnere ili administratore kupaca preporučuje se da ne koriste ove portove u njihovim konfiguracijama.

Tabela 2. Portovi kupca namenske instance

Protokol

TCP/UDP

Izvor

Odredište

Izvorni port

Odredišni port

Svrha

SSH

TCP

Klijent

UC aplikacije


 
Nije dozvoljeno Cisco Expressway aplikacijama.

Više od 1023

22

Administracija

TFTP

UDP

Krajnja tačka

Unified CM

Više od 1023

69

Podrška zastarela krajnja tačka

LDAP

TCP

UC aplikacije

Spoljni imenik

Više od 1023

389

Sinhronizacija direktorijuma sa LDAP-om kupca

HTTPS

TCP

Pregledač

UC aplikacije

Više od 1023

443

veb za self-Care i administrativne interfejse

Odlazna pošta (BEZBEDNA)

TCP

UC aplikacija

CUCxn

Više od 1023

587

Koristi se za sačinjavanje i slanje bezbednih poruka svim određenim primaocima

LDAP (BEZBEDAN)

TCP

UC aplikacije

Spoljni imenik

Više od 1023

636

Sinhronizacija direktorijuma sa LDAP-om kupca

H323

TCP

Prolaz

Unified CM

Više od 1023

1720

Signalizacija poziva

H323

TCP

Unified CM

Unified CM

Više od 1023

1720

Signalizacija poziva

SCCP

TCP

Krajnja tačka

Unified CM, CUCxn

Više od 1023

2000

Signalizacija poziva

SCCP

TCP

Unified CM

Unified CM, Mrežni prolaz

Više od 1023

2000

Signalizacija poziva

MGCP

UDP

Prolaz

Prolaz

Više od 1023

2427

Signalizacija poziva

MGCP Backhaul

TCP

Prolaz

Unified CM

Više od 1023

2428

Signalizacija poziva

SCCP (BEZBEDNO)

TCP

Krajnja tačka

Unified CM, CUCxn

Više od 1023

2443

Signalizacija poziva

SCCP (BEZBEDNO)

TCP

Unified CM

Unified CM, Mrežni prolaz

Više od 1023

2443

Signalizacija poziva

Potvrda pouzdanosti

TCP

Krajnja tačka

Unified CM

Više od 1023

2445

Obezbeđivanje usluge verifikacije pouzdanosti krajnjim tačkama

CTI

TCP

Krajnja tačka

Unified CM

Više od 1023

2748

Veza između CTI aplikacija (JTAPI/TSP) i CTIManager

Bezbedan CTI

TCP

Krajnja tačka

Unified CM

Više od 1023

2749

Bezbedna veza između CTI aplikacija (JTAPI/TSP) i CTIManager

LDAP globalni katalog

TCP

UC aplikacije

Spoljni imenik

Više od 1023

3268

Sinhronizacija direktorijuma sa LDAP-om kupca

LDAP globalni katalog

TCP

UC aplikacije

Spoljni imenik

Više od 1023

3269

Sinhronizacija direktorijuma sa LDAP-om kupca

CAPF usluga

TCP

Krajnja tačka

Unified CM

Više od 1023

3804

Certificate Authority proxy funkcije (CAPF) port za izdavanje lokalno važnih certifikata (LSC) na IP telefone

SIP

TCP

Krajnja tačka

Unified CM, CUCxn

Više od 1023

5060

Signalizacija poziva

SIP

TCP

Unified CM

Unified CM, Mrežni prolaz

Više od 1023

5060

Signalizacija poziva

SIP (BEZBEDAN)

TCP

Krajnja tačka

Unified CM

Više od 1023

5061

Signalizacija poziva

SIP (BEZBEDAN)

TCP

Unified CM

Unified CM, Mrežni prolaz

Više od 1023

5061

Signalizacija poziva

SIP (OAUTH)

TCP

Krajnja tačka

Unified CM

Više od 1023

5090

Signalizacija poziva

XMPP

TCP

Jabber klijent

Cisco IM&P

Više od 1023

5222

Trenutne razmena poruka i prisustva

HTTP

TCP

Krajnja tačka

Unified CM

Više od 1023

6970

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnja tačka

Unified CM

Više od 1023

6971

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnja tačka

Unified CM

Više od 1023

6972

Preuzimanje konfiguracije i slika na krajnje tačke

HTTP

TCP

Jabber klijent

CUCxn

Više od 1023

7080

Obaveštenja putem govorne pošte

HTTPS

TCP

Jabber klijent

CUCxn

Više od 1023

7443

Bezbedna obaveštenja putem govorne pošte

HTTPS

TCP

Unified CM

Unified CM

Više od 1023

7501

Koristi Intercluster Lookup Service (ILS) za potvrdu identiteta zasnovanu na sertifikatu

HTTPS

TCP

Unified CM

Unified CM

Više od 1023

7502

Koristi ILS za potvrdu identiteta zasnovanu na lozinki

IMAP

TCP

Jabber klijent

CUCxn

Više od 1023

7993

IMAP preko TLS-a

HTTP

TCP

Krajnja tačka

Unified CM

Više od 1023

8080

URI direktorijuma za podršku zastarele krajnje tačke

HTTPS

TCP

Pregledač, krajnja tačka

UC aplikacije

Više od 1023

8443

veb za self-Care i administrativne interfejse, UDS

HTTPS

TCP

Telefon

Unified CM

Više od 1023

9443

Pretraga kontakata potvrđenog identiteta

STTP-ovi

TCP

Krajnja tačka

Unified CM

Više od 1023

9444

Funkcija upravljanja slušalicama

Bezbedni RTP/SRTP

UDP

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Medij (audio) – muzika na čekanju, Anunciator, softverski most konferencijski most (otvoreno na osnovu signaliziranja poziva)

Bezbedni RTP/SRTP

UDP

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Medij (audio) – muzika na čekanju, Anunciator, softverski most konferencijski most (otvoreno na osnovu signaliziranja poziva)

KOBRAS

TCP

Klijent

CUCxn

Više od 1023

20532

Napravite rezervnu kopije i vratite paket aplikacije

ICMP

ICMP

Krajnja tačka

UC aplikacije

n. p.

n. p.

Ping

ICMP

ICMP

UC aplikacije

Krajnja tačka

n. p.

n. p.

Ping

DNS UDP i TCP

DNS prosleđivanja

Serveri namenske DNS instance

Više od 1023

53

Lokalno DNS korisnika prosleđivanja na Dedicated Instance DNS serverima. Više DNS za više informacija.

* Određene specijalne slučajeve mogu da koriste veći opseg.

Namenska instanca – OTT portovi

Sledeći port mogu koristiti kupci i partneri za mobilne uređaje i Remote Access (MRA) podešavanje:

Tabela 3. Port za OTT

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrha

BEZBEDNI RTP/RTCP

UDP

Expressway C

Klijent

Više od 1023

36000-59999

Bezbedni mediji za mrA i B2B pozive

Međuoplane SIP stablo između multitenanta i dedicated Instance (samo za prenosnik zasnovan na registraciji)

Sledeća lista portova mora da bude dozvoljena na zaštitnom zidu kupca da bi se SIP stablo povezali između multitenanta i namenske instance.

Tabela 4. Port za magistrale zasnovane na registraciji

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrha

RTP/RTCP

UDP

Webex Calling za više korisnika

Klijent

Više od 1023

8000-48198

Mediji od Webex Calling više korisnika

Namenska instanca – UCCX portovi

Kupci i partneri mogu da koriste sledeću listu portova za konfigurisanje UCCX-a.

Tabela 5. Cisco UCCX portove

Protokol

TCP / UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrha

SSH

TCP

Klijent

UCCX

Više od 1023

22

SFTP i SSH

Informis

TCP

Klijent ili server

UCCX

Više od 1023

1504

Port baze podataka contact Center Express

SIP

UDP i TCP

SIP GW ili MCRP server

UCCX

Više od 1023

5065

Komunikacija sa udaljenim GW i MCRP čvorovima

XMPP

TCP

Klijent

UCCX

Više od 1023

5223

Bezbedna XMPP veza između Finesse servera i prilagođenih aplikacija trećih lica

CVD

TCP

Klijent

UCCX

Više od 1023

6999

Uređivač u CCX aplikacije

HTTPS

TCP

Klijent

UCCX

Više od 1023

7443

Bezbedna BOSH veza između Finesse servera i agenta i supervizora za komunikaciju preko HTTPS-a

HTTP

TCP

Klijent

UCCX

Više od 1023

8080

Klijenti za izveštavanje uživo povezuju se na priključak. IO server

HTTP

TCP

Klijent

UCCX

Više od 1023

8081

Pregledač klijenta koji pokušava da pristupi Cisco Unified Intelligence Center veb interfejs

HTTP

TCP

Klijent

UCCX

Više od 1023

8443

Administratorski grafički interfejs, RTCP, DB pristup preko SOAP

HTTPS

TCP

Klijent

UCCX

Više od 1023

8444

Cisco Unified Intelligence Center veb interfejs

HTTPS

TCP

Pregledač i REST klijenti

UCCX

Više od 1023

8445

Bezbedan port za Finesse

HTTPS

TCP

Klijent

UCCX

Više od 1023

8447

HTTPS – Unified Intelligence Center pomoć na mreži

HTTPS

TCP

Klijent

UCCX

Više od 1023

8553

Komponente za jedinstveno prijavljivanje (SSO) pristupaju ovom interfejsu da bi se stekle operativnog statusa Cisco IdS-a.

HTTP

TCP

Klijent

UCCX

Više od 1023

9080

Klijenti koji pokušavaju da pristupe HTTP okidaču ili dokumentima / upitima / gramatici / podaci uživo.

HTTPS

TCP

Klijent

UCCX

Više od 1023

9443

Bezbedan port koji se koristi za odgovor klijentima koji pokušavaju da pristupe HTTPS okidaču

TCP

TCP

Klijent

UCCX

Više od 1023

12014

Ovo je port na kom klijenti za izveštavanje o podacima uživo mogu da se povežu na priključak. IO server

TCP

TCP

Klijent

UCCX

Više od 1023

12015

Ovo je port na kom klijenti za izveštavanje o podacima uživo mogu da se povežu na priključak. IO server

CTI

TCP

Klijent

UCCX

Više od 1023

12028

Nezavisni klijent CTI CCX

RTP (mediji)

TCP

Krajnja tačka

UCCX

Više od 1023

Više od 1023

Port medija se dinamički otvara po potrebi

RTP (mediji)

TCP

Klijent

Krajnja tačka

Više od 1023

Više od 1023

Port medija se dinamički otvara po potrebi

Bezbednost klijenta

Obezbeđivanje Jabber i Webex SIP OAuth

Jabber i Webex klijenti potvrđuju identitet pomoću OAuth tokena umesto datoteke lokalno značajan sertifikat (LSC), koja ne zahteva omogućavanje funkcija proksija sertifikacionog tela (CAPF) (i za MRA). SIP OAuth rad sa ili bez mešovitog režima je uveden u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

U Cisco Unified CM 12.5 imamo novu opciju u profilu bezbednosti telefona koja omogućava šifrovanje bez LSC/CAPF, koristeći pojedinačni bezbednost transportnog sloja (TLS) + OAuth token u SIP REGISTRU. Expressway-C čvorovi koriste API za veb administratorske XML veb (AXL) da bi Cisco Unified CM O SN/SAN u svom sertifikatu. Cisco Unified CM koristi ove informacije za proveru valjanosti Exp-C sertifikata prilikom uspostavljanja međusobne TLS veze.

SIP OAuth omogućava šifrovanje medija i signalizatora bez sertifikata krajnje tačke (LSC).

Cisco Jabber koristi Ephemeral portove i bezbedne portove 6971 i 6972 preko HTTPS veze sa TFTP serverom da bi preuzeo datoteke za konfiguraciju. Port 6970 je nesigurni port za preuzimanje putem HTTP-a.

Više detalja o SIP OAuth konfiguraciji: SIP OAuth režim.

DNS zahtevi

Za ime namenske instance Cisco FQDN za uslugu u svakom regionu sa sledećim formatom <customer>.<region>. wxc-di.webex.com, na primer, xyz.amer.wxc-di.webex.com.

Vrednost "kupac" pruža administrator kao deo grupe čarobnjak za prvo podešavanje (FTSW). Za više informacija pogledajte aktiviranje usluge namenske instance.

DNS zapisi za ovaj FQDN moraju da se reše iz internog DNS server kupca da bi podržali lokalne uređaje koji se povezuju sa namenskim instancama. Da bi olakšao rezoluciju, klijent treba da konfiguriše uslovni prosleđivač za ovaj FQDN, na DNS server koji upućuje na DNS uslugu namenske instance. DNS usluga namenske instance je regionalna i može se dostići pomoću ravnoplovne datoteke na namensku instancu koristeći sledeće IP adrese kao što je navedeno u donjoj tabeli IP adresu usluge namenske instance DNS.

Tabela 6. IP adresa usluge DNS-a namenske instance

Region/DC

IP adresa usluge DNS-a namenske instance

Primer uslovnog prosleđivanja

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

Evropska unija

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

GREH

103.232.71.100

TKI

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SID

178.215.128.228


 

Ping opcija je onemogućena za gore pomenute DNS server IP adrese iz bezbednosnih razloga.

Dok se uslovno prosleđivanje ne pokrene, uređaji neće moći da se registruju u namensku instancu iz interne mreže kupaca putem ravnopmernih veza. Uslovno prosleđivanje nije potrebno za registraciju putem mobilnog telefona i usluge Remote Access (MRA), jer će sve potrebne spoljne DNS zapise za olakšavanje MRA unapred dodeliti privilegije Cisco.

Kada koristite aplikaciju Webex za pozivanje softverskog klijenta na namenskim instancama, profil za UC Manager mora da se konfiguriše na platformi Control Hub za domen glasovne usluge svakog regiona (VSD). Za više informacija pogledajte Profile za UC Manager u Cisco Webex Control Hub. Aplikacija Webex moći automatski da reši Expressway Edge kupca bez ikakve krajnji korisnik intervencije.


 

Domen glasovne usluge biće dodeljen kupcu u sklopu dokumenta o pristupu partnerima kada se završi aktivacija usluge.