Mrežni zahtevi za namensku instancu

Webex Pozivanje namenske instance je deo Cisco Cloud Calling portfolija, koji napaja tehnologija saradnje Cisco Unified Communications Manager (Cisco Unified CM). Namenska instanca nudi glasovna, video, rešenja za razmenu poruka i mobilnost sa funkcijama i prednostima Cisco IP telefona, mobilnih uređaja i desktop klijenata koji se bezbedno povezuju sa namenskom instancom.

Ovaj članak je namenjen administratorima mreže, posebno administratorima zaštitnog zida i proxy bezbednosti koji žele da koriste namensku instancu unutar svoje organizacije. Ovaj dokument se prvenstveno fokusira na mrežne zahteve i bezbednost rešenja namenske instance, uključujući slojevit pristup funkcijama i funkcionalnostima koje obezbeđuju bezbedan fizički pristup, bezbednu mrežu, sigurne krajnje tačke i bezbedne Cisco UC aplikacije.

Zahtevi certifikata za bezbedne veze u namenskoj instanci

Za Webex pozivanje namenske instance, Cisco će obezbediti domen i potpisati sve certifikate za UC aplikacije koristeći javni autoritet za izdavanje certifikata (CA).

Namenska instanca – brojevi portova i protokoli

Sledeće tabele opisuju portove i protokole koji su podržani u namenskoj instanci. Portovi koji se koriste za datog kupca zavise od primene i rešenja kupca. Protokoli zavise od željenih opcija kupca (SCCP ili SIP), postojećih lokalnih uređaja i nivoa bezbednosti da bi se utvrdilo koji portovi će se koristiti u svakoj primeni.

Namenska instanca – Portovi kupaca

Portovi dostupni za kupce - između premise "Kupac" i "Namenska instanca" prikazani su u portovima namenskih instanci kupca tabele1 . Svi dole navedeni portovi su za promet klijenata koji prelazi preko vršnjačkih veza.


SNMP port je podržan samo za CER funkcionalnost, a ne i za druge alatke za nadgledanje trećih strana.

Tabela 1. Namenski portovi kupaca

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

SSH

TCP

Klijent

UC aplikacije

Veće od 1023

22

Administracija

LDAP

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

389

Sinhronizacija direktorijuma sa LDAP klijentima

HTTPS

TCP

Pregledača

UC aplikacije

Veće od 1023

443

Web pristup za brigu o sebi i administrativne interfejse

LDAP (BEZBEDNO)

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

636

Sinhronizacija direktorijuma sa LDAP klijentima

SCCP

TCP

Krajnje tačke

Objedinjeni CM, CUCxn

Veće od 1023

2000

Pozivanje signalizacije

SCCP

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

2000

Pozivanje signalizacije

SCCP (BEZBEDNO)

TCP

Krajnje tačke

Objedinjeni CM, CUCxn

Veće od 1023

2443

Pozivanje signalizacije

SCCP (BEZBEDNO)

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

2443

Pozivanje signalizacije

Verifikacija poverenja

TCP

Krajnje tačke

Unified CM

Veće od 1023

2445

Pružanje usluge provere pouzdanosti krajnjim tačkama

CTI

TCP

Krajnje tačke

Unified CM

Veće od 1023

2748

Veza između CTI aplikacija (JTAPI/TSP) i CTIManagera

Bezbedni CTI

TCP

Krajnje tačke

Unified CM

Veće od 1023

2749

Bezbedna veza između CTI aplikacija (JTAPI/TSP) i CTIManagera

LDAP globalni katalog

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

3268

Sinhronizacija direktorijuma sa LDAP klijentima

LDAP globalni katalog

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

3269

Sinhronizacija direktorijuma sa LDAP klijentima

CAPF usluga

TCP

Krajnje tačke

Unified CM

Veće od 1023

3804

Port za slušanje proxy funkcije autoriteta za izdavanje lokalno značajnih certifikata (LSC) IP telefonima

SIP

TCP

Krajnje tačke

Objedinjeni CM, CUCxn

Veće od 1023

5060

Pozivanje signalizacije

SIP

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

5060

Pozivanje signalizacije

SIP (BEZBEDNO)

TCP

Krajnje tačke

Unified CM

Veće od 1023

5061

Pozivanje signalizacije

SIP (BEZBEDNO)

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

5061

Pozivanje signalizacije

SIP (OAUTH)

TCP

Krajnje tačke

Unified CM

Veće od 1023

5090

Pozivanje signalizacije

XMPP

TCP

Jabber klijent

Cisco IM&P

Veće od 1023

5222

Neposredna razmena poruka i prisustvo

HTTP

TCP

Krajnje tačke

Unified CM

Veće od 1023

6970

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnje tačke

Unified CM

Veće od 1023

6971

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnje tačke

Unified CM

Veće od 1023

6972

Preuzimanje konfiguracije i slika na krajnje tačke

HTTP

TCP

Jabber klijent

CUCxn

Veće od 1023

7080

Obaveštenja govorne pošte

HTTPS

TCP

Jabber klijent

CUCxn

Veće od 1023

7443

Bezbedna obaveštenja govorne pošte

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7501

Koristi ga Usluga pronalaženja među naznakama (ILS) za potvrdu identiteta zasnovanu na certifikatu

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7502

Koristi ilS za potvrdu identiteta zasnovanu na lozinki

IMAP

TCP

Jabber klijent

CUCxn

Veće od 1023

7993

IMAP preko TLS-a

HTTPS

TCP

Browser, Endpoint

UC aplikacije

Veće od 1023

8443

Web pristup za brigu o sebi i administrativne interfejse, UDS

HTTPS

TCP

Prem

Unified CM

Veće od 1023

9443

Potvrđena pretraga kontakata

Bezbedan RTP/SRTP

UDP

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

Bezbedan RTP/SRTP

UDP

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

ICMP

ICMP

Krajnje tačke

UC aplikacije

N/a

N/a

Ping

ICMP

ICMP

UC aplikacije

Krajnje tačke

N/a

N/a

Ping

* Određeni posebni slučajevi mogu koristiti veći opseg.

Namenska instanca – OTT portovi

Sledeću listu portova mogu da koriste klijenti i partneri za podešavanje mobilnog i daljinskog pristupa (MRA) :

Sto 2. Lista portova za OTT

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

SECURE SIP

TCP

Krajnje tačke

Expressway E

Veće od 1023

5061

Bezbedna SIP signalizaciju za MRA registraciju i pozive

SECURE SIP

TCP

Endpoint/Server

Expressway E

Veće od 1023

5062

Siguran SIP za B2B pozive

BEZBEDAN RTP/RTCP

UDP

Endpoint/Server

Expressway E

Veće od 1023

36000-59999

Bezbedni mediji za MRA i B2B pozive

HTTPS (BEZBEDNO)

TLS

Klijent

Expressway E

Veće od 1023

8443

CUCM UDS i CUCxn REST za MRA pozive

XML-i

TLS

Klijent

Expressway E

Veće od 1023

5222

IM i prisustvo

OKRENI

UDP

ICE klijent

Expressway E

Veće od 1023

3478

Pregovori o LEDU/OMAMLJIVANJU/PREOKRETU

BEZBEDAN RTP/RTCP

UPD

ICE klijent

Expressway E

Veće od 1023

24000-29999

TURN media for ICE fallback

Namenska instanca – UCCX portovi

Sledeću listu portova mogu da koriste klijenti i partneri za konfigurisanje UCCX-a.

Sto 3. Cisco UCCX portovi

Protokol

TCP / UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

SSH

TCP

Klijent

UCCX

Veće od 1023

22

SFTP i SSH

Informix

TCP

Klijent ili server

UCCX

Veće od 1023

1504

Objedinjeni PORT CCX baze podataka

SIP

UDP i TCP

SIP GW ili MCRP server

UCCX

Veće od 1023

5065

Komunikacija sa udaljenim GW i MCRP čvorovima

XMPP

TCP

Klijent

UCCX

Veće od 1023

5223

Bezbedna XMPP veza između Finesse servera i prilagođenih aplikacija nezavisnih proizvođača

CVD

TCP

Klijent

UCCX

Veće od 1023

6999

Uređivač u CCX aplikacije

HTTPS

TCP

Klijent

UCCX

Veće od 1023

7443

Bezbedna BOSH veza između Finesse servera i agenta i supervizora za komunikaciju preko HTTPS-a

HTTP

TCP

Klijent

UCCX

Veće od 1023

8080

Klijenti koji izveštavaju uživo povezuju se sa utičnicom. IO server

HTTP

TCP

Klijent

UCCX

Veće od 1023

8081

Pregledač klijenta pokušava da pristupi veb interfejsu Cisco Unified Intelligence Center

HTTP

TCP

Klijent

UCCX

Veće od 1023

8443

Admin GUI, RTMT, DB pristup preko SOAP-a

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8444

Cisco Unified Intelligence Center web interfejs

HTTPS

TCP

Klijenti pregledača i REST-a

UCCX

Veće od 1023

8445

Bezbedna luka za Finesse

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8447

HTTPS - Pomoć objedinjene obaveštajne službe na mreži

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8553

Komponente za jedinstveno prijavljivanje (SSO) pristupaju ovom interfejsu da bi znale operativni status Cisco IdS-a.

HTTP

TCP

Klijent

UCCX

Veće od 1023

9080

Klijenti koji pokušavaju da pristupe HTTP okidačima ili dokumentima / odzivima / gramatici / podacima uživo.

HTTPS

TCP

Klijent

UCCX

Veće od 1023

9443

Bezbedan port koji se koristi za odgovaranje klijentima koji pokušavaju da pristupe HTTPS okidačima

TCP

TCP

Klijent

UCCX

Veće od 1023

12014

Ovo je port u kome klijenti koji izveštavaju uživo mogu da se povežu sa utičnicom. IO server

TCP

TCP

Klijent

UCCX

Veće od 1023

12015

Ovo je port u kome klijenti koji izveštavaju uživo mogu da se povežu sa utičnicom. IO server

CTI

TCP

Klijent

UCCX

Veće od 1023

12028

CTI klijent trećeg proizvođača u CCX

RTP(Mediji)

TCP

Krajnje tačke

UCCX

Veće od 1023

Veće od 1023

Port za medije se po potrebi otvara dinamički

RTP(Mediji)

TCP

Klijent

Krajnje tačke

Veće od 1023

Veće od 1023

Port za medije se po potrebi otvara dinamički

Bezbednost klijenta

Obezbeđivanje Jabber-a i Webex-a sa SIP OAuth-om

Klijenti za jabber i Webex su potvrđeni putem OAuth tokena umesto lokalno značajnog certifikata (LSC), koji ne zahteva omogućavanje proxy funkcije autoriteta za izdavanje certifikata (CAPF). SIP OAuth koji radi sa ili bez mešovitog režima uveden je u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

U Cisco Unified CM 12.5 imamo novu opciju u Profilu bezbednosti telefona koja omogućava šifrovanje bez LSC/CAPF, koristeći single Transport Layer Security (TLS) + OAuth token u SIP REGISTER-u. Expressway-C čvorovi koriste API administrativne XML Web usluge (AXL) da bi obavestili Cisco Unified CM o SN/SAN u svom certifikatu. Cisco Unified CM koristi ove informacije za proveru valjanosti Exp-C certifikata prilikom uspostavljanja međusobne TLS veze.

SIP OAuth omogućava šifrovanje medija i signalizacije bez certifikata krajnje tačke (LSC).

Cisco Jabber koristi Efemeralne portove i bezbedne portove 6971 i 6972 portove putem HTTPS veze sa TFTP serverom za preuzimanje konekcionih datoteka. Port 6970 je nesiguran port za preuzimanje preko HTTP-a.

Više detalja o SIP OAuth konfiguraciji: SIP OAuth mod.

DNS zahtevi

Za namensku instancu Cisco obezbeđuje FQDN za uslugu u svakom regionu sa sledećim formatom <customer>.<region>. wxc-di.webex.com, na primer, xyz.amer.wxc-di.webex.com.

Vrednost "kupac" obezbeđuje administrator kao deo čarobnjaka za instalaciju prvog puta (FTSW). Za više informacija pogledajte Aktivaciju usluge namenske instance.

DNS zapisi za ovaj FQDN moraju biti rešavani sa internog DNS servera klijenta da bi se podržali uređaji koji se povezuju sa namenskom instancom. Da bi olakšao rešavanje, klijent mora da konfiguriše uslovni prosleđivanje za ovaj FQDN na svom DNS serveru koji pokazuje na DNS uslugu namenske instance. DNS usluga namenske instance je regionalna i do koje se može doći putem peeringa do namenske instance, korišćenjem sledećih IP adresa kao što je pomenuto u donjem stolu Namenska instanca IP adrese DNS usluge.

Sto 4. IP adresa namenske instance DNS usluge

Region/DC

IP adresa namenske instance DNS usluge

Primer uslovnog prosleđivanja

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

GREH

103.232.71.288

Dok uslovno prosleđivanje ne bude postavljeno, uređaji neće moći da se registruju u namensku instancu sa interne mreže klijenata putem peering linkova. Uslovno prosleđivanje nije neophodno za registraciju putem mobilnog i daljinskog pristupa (MRA), jer će sve potrebne spoljne DNS zapise za olakšavanje MRA unapred obezbediti Cisco.

Kada koristite Webex aplikaciju kao mekog klijenta za pozivanje u namenskoj instanci, UC Manager profil mora biti konfigurisan u kontrolnom čvorištu za domen glasovne usluge (VSD) svakog regiona. Za više informacija pogledajte profile UC Managera u Cisco Webex kontrolnom čvorištu. Webex aplikacija će moći automatski da reši Expressway Edge kupca bez intervencije krajnjeg korisnika.


Domen glasovne usluge će biti dostavljen kupcu kao deo dokumenta o pristupu partneru kada se aktivacija usluge dovrši.