Мрежни захтеви за наменску инстанцу

Webex Pozivanje namenske instance je deo Cisco Cloud Calling portfolija, koji napaja tehnologija saradnje Cisco Unified Communications Manager (Cisco Unified CM). Namenska instanca nudi glasovna, video, rešenja za razmenu poruka i mobilnost sa funkcijama i prednostima Cisco IP telefona, mobilnih uređaja i desktop klijenata koji se bezbedno povezuju sa namenskom instancom.

Ovaj članak je namenjen administratorima mreže, posebno administratorima zaštitnog zida i proxy bezbednosti koji žele da koriste namensku instancu unutar svoje organizacije.

Преглед безбедности: Безбедност у слојевима

Namenska instanca koristi slojevit pristup za bezbednost. Slojevi obuhvataju:

  • Fizički pristup

  • Mreža

  • Krajnje tačke

  • UC aplikacije

Sledeći odeljci opisuju slojeve bezbednosti u raspoređivanju namenske instance.

Физичко обезбеђење

Važno je obezbediti fizičko obezbeđenje lokacijama Equinix Meet-Me room i objektima Cisco Dedicated Instance Data Center. Kada je fizičko obezbeđenje ugroženo, mogu se pokrenuti jednostavni napadi kao što je prekid usluge isključivanjem napajanja na prekidače klijenta. Uz fizički pristup, napadači bi mogli da dobiju pristup serverima, resetuju lozinke i dobiju pristup prekidačima. Fizički pristup takođe olakšava sofisticiranije napade kao što su napadi čoveka u sredini, zbog čega je drugi bezbednosni sloj, bezbednost mreže, kritičan.

Disk jedinice za samostalno šifrovanje koriste se u data centrima namenske instance koji hostuje UC aplikacije.

За више информација о општим безбедносним праксама, погледајте документацију на следећој локацији: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Безбедност мреже

Partneri moraju da obezbede da svi mrežni elementi budu obezbeđeni u namenskoj infrastrukturi instance (koja se povezuje preko Equinix-a). Odgovornost partnera je da obezbedi sigurnost najboljih praksi kao što su:

  • Zaseban VLAN za glas i podatke

  • Omogući bezbednost porta koja ograničava broj MAC adresa koje su dozvoljene po luci, u odnosu na poplave CAM tabele

  • IP izvorna garda protiv lažnih IP adresa

  • Dinamička ARP inspekcija (DAI) ispituje protokol rešavanja adrese (ARP) i zahvalni ARP (GARP) za prekršaje (protiv ARP obmane)

  • 802. ograničava1x mrežni pristup autentifikaciji uređaja na dodeljenim VLAN-om (telefoni podržavaju 802.1x)

  • Konfiguracija kvaliteta usluge (QoS) za odgovarajuće obeležavanje glasovnih paketa

  • Konfiguracije portova zaštitnog zida za blokiranje bilo kog drugog saobraćaja

Безбедност крајњих тачака

Cisco krajnje tačke podržavaju podrazumevane bezbednosne funkcije kao što su potpisani firmver, bezbedno pokretanje sistema (izabrani modeli), instalirani certifikat proizvođača (MIC) i potpisane datoteke konfiguracije, koje obezbeđuju određeni nivo bezbednosti za krajnje tačke.

Pored toga, partner ili klijent mogu da omoguće dodatnu bezbednost, kao što su:

  • Šifriraj usluge IP telefona (putem HTTPS-a) za usluge kao što je Extension Mobility

  • Izdavanje lokalno značajnih certifikata (LSC) iz proxy funkcije autoriteta za izdavanje certifikata (CAPF) ili javnog autoriteta za izdavanje certifikata (CA)

  • Šifriraj datoteke za konfiguraciju

  • Šifrovanje medija i signalizacije

  • Onemogući ove postavke ako se ne koriste: PC port, PC Voice VLAN Access, Gratuitous ARP, Web Access, Settings button, SSH, konzola

Primena bezbednosnih mehanizama u namenskoj instanci sprečava krađu identiteta telefona i Objedinjeni CM server, neovlašćeno menjanje podataka i neovlašćeno pozivanje / neovlašćeno menjanje protoka medija.

Posvećena instanca preko mreže:

  • Uspostavlja i održava potvrđene tokove komunikacije

  • Digitalno potpisuje datoteke pre nego što prenese datoteku na telefon

  • Šifruje tokove medija i poziva na signalizaciju između Cisco Objedinjenih IP telefona

Подразумевано подешавање безбедности

Bezbednost podrazumevano obezbeđuje sledeće funkcije automatske bezbednosti za Cisco Objedinjene IP telefone:

  • Potpisivanje datoteka za konfiguraciju telefona

  • Podrška za šifrovanje datoteke za konfiguraciju telefona

  • HTTPS sa Tomcatom i drugim Web uslugama (MIDlets)

Za objedinjeni CM Release 8.0 kasnije, ove bezbednosne funkcije su podrazumevano obezbeđene bez pokretanja klijenta liste pouzdanih certifikata (CTL).

Услуга верификације поверења

S obzirom na to da postoji veliki broj telefona u mreži i IP telefoni imaju ograničenu memoriju, Cisco Unified CM deluje kao udaljeno skladište poverenja preko Usluge provere poverenja (TVS) tako da skladište poverenja certifikata ne mora da se stavi na svaki telefon. Cisco IP telefoni se kontaktiraju sa TVS serverom radi provere jer ne mogu da provere potpis ili certifikat putem CTL ili ITL datoteka. Lakše je upravljati centralnom pouzdanom prodavnicom nego imati pouzdanu prodavnicu na svakom Cisco Objedinjenom IP telefonu.

TVS omogućava Cisco Objedinjenim IP telefonima da tokom HTTPS establišmenta potvrde identitet servera aplikacija, kao što su EM usluge, direktorijum i MIDlet.

Почетна листа поверења

Datoteka Initial Trust List (ITL) se koristi za početnu bezbednost, tako da krajnje tačke mogu da veruju Cisco objedinjenom CM-u. ITL-u nisu potrebne nikakve bezbednosne funkcije da bi bio omogućen izričito. ITL datoteka se automatski kreira kada se klaster instalira. Privatni ključ objedinjenog CM Trivial File Transfer Protocol (TFTP) servera se koristi za potpisivanje ITL datoteke.

Kada je Cisco Unified CM klaster ili server u nesigurni režim, ITL datoteka se preuzima na svakom podržanom Cisco IP telefonu. Partner može da prikaže sadržaj ITL datoteke pomoću CLI komande, admin:show itl.

Подразумевано, администратору партнера је додељен приступ нивоа 1 за CLI. Више информација и команде дозвољене на нивоу 1 потражите у О командној линији команде.

Cisco IP telefonima je potreban ITL fajl za izvršavanje sledećih zadataka:

  • Bezbedno komunicirajte sa CAPF-om, što je preduslov za podršku šifrovanju datoteke za konfiguraciju

  • Potvrda identiteta potpisa datoteke za konfiguraciju

  • Potvrdi verodostojnost servera aplikacija, kao što su EM usluge, direktorijum i MIDlet tokom HTTPS establišmenta pomoću TVS-a

Cisco CTL

Potvrda identiteta uređaja, datoteke i signalizacije oslanja se na kreiranje datoteke liste pouzdanih certifikata (CTL) koja se kreira kada partner ili klijent instalira i konfiguriše klijenta liste pouzdanih certifikata za Cisco.

CTL datoteka sadrži stavke za sledeće servere ili bezbednosne tokene:

  • Bezbednosni simbol administratora sistema (SAST)

  • Cisco CallManager i Cisco TFTP usluge koje rade na istom serveru

  • Proxy funkcija autoriteta za izdavanje certifikata (CAPF)

  • TFTP serveri

  • ASA zaštitni zid

CTL datoteka sadrži certifikat servera, javni ključ, serijski broj, potpis, ime izdavača, ime teme, funkciju servera, DNS ime i IP adresu za svaki server.

Bezbednost telefona sa CTL-om obezbeđuje sledeće funkcije:

  • Potvrda identiteta preuzetih TFTP datoteka (konfiguracija, lokalni standard, lista prstena i tako dalje) pomoću ključa za potpisivanje

  • Šifrovanje TFTP datoteka za konfiguraciju pomoću ključa za potpisivanje

  • Šifrovano pozivanje za IP telefone

  • Šifrovani audio poziv (mediji) za IP telefone

Безбедност за Cisco IP телефоне у наменској инстанци

Namenska instanca obezbeđuje registraciju krajnje tačke i obradu poziva. Signalizaciju između Cisco Unified CM i krajnjih tačaka zasniva se na Secure Skinny Client Control Protocol (SCCP) ili Session Initiation Protocol (SIP) i može se šifrovati pomoću usluge Transport Layer Security (TLS). Medij od/do krajnjih tačaka zasnovan je na Protokolu transporta u realnom vremenu (RTP) i takođe se može šifrovati pomoću Secure RTP (SRTP).

Omogućavanje mešovitog režima na Objedinjenom CM-u omogućava šifrovanje signalizacije i medijskog saobraćaja sa i na krajnje tačke Cisco-a.

Безбедне УЦ апликације

Омогућавање мешовитог режима у наменској инстанци

Мешовити режим је подразумевано омогућен у наменској инстанци.

Omogućavanje mešovitog režima u namenskoj instanci omogućava šifrovanje signalizacije i medijskog saobraćaja sa krajnjih tačaka i na krajnje tačke programa Cisco.

U Cisco Unified CM izdanje 12.5(1), nova opcija za omogućavanje šifrovanja signalizacije i medija zasnovanih na SIP OAuth umesto mešovitog režima / CTL je dodata za Jabber i Webex klijente. Zbog toga se u Objedinjenom CM izdanju 12.5(1), SIP OAuth i SRTP mogu koristiti za omogućavanje šifrovanja za signalizaciju i medije za Jabber ili Webex klijente. Omogućavanje mešovitog režima i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje tačke u ovom trenutku. Postoji plan da se u budućem izdanju doda podrška SIP OAuthu na 7800/8800 krajnjim tačkama.

Безбедност гласовних порука

Cisco Unity veza se povezuje sa Objedinjenim CM-om preko TLS porta. Kada režim bezbednosti uređaja nije bezbedan, Cisco Unity Connection se povezuje sa objedinjenim CM-om preko SCCP porta.

Da bi konfigurisali bezbednost za Objedinjene CM portove za razmenu glasovnih poruka i Cisco Unity uređaje koji rade pod SCCP ili Cisco Unity Connection uređajima koji rade pod SCCP- om, partner može da odabere bezbedni režim bezbednosti uređaja za port. Ako odaberete potvrđeni port govorne pošte, otvoriće se TLS veza koja potvrdi identitet uređaja pomoću međusobne razmene certifikata (svaki uređaj prihvata certifikat drugog uređaja). Ako odaberete šifrovani port govorne pošte, sistem prvo potvrdi identitet uređaja, a zatim šalje šifrovane tokove glasa između uređaja.

Za više informacija o portovima za razmenu poruka bezbednosnog glasa pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Obezbeđenje za SRST, Prtljažnike, mrežne prolaze, KOCKU/SBC

Cisco objedinjena mobilna telefonija udaljene lokacije (SRST) omogućena za preživljavanje obezbeđuje ograničene zadatke obrade poziva ako Cisco objedinjeni CM u namenskoj instanci ne može da dovrši poziv.

Bezbedni mrežni prolazi sa omogućenim SRST-om sadrže samopotpisani certifikat. Nakon što partner izvrši zadatke konfiguracije SRST-a u opciji "Objedinjena CM administracija", objedinjeni CM koristi TLS vezu za potvrdu identiteta kod usluge dobavljača certifikata u mrežnom prolazu sa omogućenim SRST-om. Objedinjeni CM zatim preuzima certifikat iz mrežnog prolaza sa omogućenim SRST-om i dodaje certifikat u objedinjenu CM bazu podataka.

Nakon što partner uspostavi početne vrednosti zavisnih uređaja u Objedinjenoj CM administraciji, TFTP server dodaje certifikat mrežnog prolaza omogućen za SRST u datoteku telefona cnf.xml i šalje datoteku na telefon. Bezbedni telefon zatim koristi TLS vezu za interakciju sa mrežnim prolazom sa omogućenim SRST-om.

Preporučuje se da imate sigurne prtljažnike za poziv koji potiče od Cisco Unified CM do mrežnog prolaza za odlazne PSTN pozive ili prelazak preko Cisco objedinjenog graničnog elementa (CUBE).

SIP prtljažnici mogu da podrže sigurne pozive kako za signalizaciju, tako i za medije; TLS obezbeđuje šifrovanje signalizacije, a SRTP obezbeđuje šifrovanje medija.

Обезбеђивање комуникације између Cisco Unified CM-а и CUBE-а

Za bezbednu komunikaciju između Cisco Unified CM i CUBE, partneri/klijenti moraju da koriste samopotpisani certifikat ili CA potpisane certifikate.

Za samopotpisane certifikate:

  1. CUBE i Cisco Unified CM generišu samopotpisane sertifikate

  2. KOCKA izvozi sertifikat u Cisco Unified CM

  3. Cisco Unified CM izvozi sertifikat u CUBE

Za certifikate potpisane sa CA:

  1. Klijent generiše ključni par i šalje zahtev za potpisivanje certifikata (CSR) autoritetu za izdavanje certifikata (CA)

  2. CA ga potpisuje svojim privatnim ključem, stvarajući certifikat identiteta

  3. Klijent instalira listu pouzdanih CA vrhovnih i posredničkih certifikata i certifikat identiteta

Безбедност за удаљене крајње тачке

Pomoću krajnjih tačaka mobilnog i daljinskog pristupa (MRA) signalizacije i medija uvek se šifruju između MRA krajnjih tačaka i čvorova Expressway. Ako se protokol interaktivnog uspostavljanja veze (ICE) koristi za MRA krajnje tačke, potrebno je signalizaciju i šifrovanje medija mrA krajnjih tačaka. Međutim, šifrovanje signalizacije i medija između Expressway-C i internih Objedinjenih CM servera, unutrašnjih krajnjih tačaka ili drugih internih uređaja, zahteva mešoviti režim ili SIP OAuth.

Cisco Expressway obezbeđuje bezbedan zaštitni zid i podršku na liniji za objedinjene CM registracije. Objedinjeni CM obezbeđuje kontrolu poziva i za mobilne i za lokalne krajnje tačke. Signalizacijom se prelazi Expressway rešenje između udaljene krajnje tačke i objedinjenog CM-a. Mediji prelaze preko rešenja Ekspresveja i prenose se direktno između krajnjih tačaka. Svi mediji su šifrovani između Expressway-C i mobilne krajnje tačke.

Svako MRA rešenje zahteva Expressway i Unified CM, sa mekim klijentima kompatibilnim sa MRA i/ili fiksnim krajnjim tačkama. Rešenje opcionalno može da sadrži uslugu za hitnem porukama i uslugu prisustva i vezu jedinstva.

Резиме протокола

Sledeća tabela prikazuje protokole i pridružene usluge koje se koriste u objedinjenom CM rešenju.

Табела 1. Protokoli i prateće usluge

Protokol

Bezbednost

Usluga

SIP

TLS

Uspostavljanje sesije: Registrujte se, pozovi itd.

HTTPS

TLS

Prijavljivanje, Obezbeđivanje/Konfiguracija, Direktorijum, Vizuelna govorna pošta

Mediji

SRTP

Media: Audio, video zapisi, deljenje sadržaja

XMPP

TLS

Razmena trenutnih poruka, prisustvo, federacija

Više informacija o MRA konfiguraciji potražite u članku: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opcije konfiguracije

Namenska instanca obezbeđuje partneru fleksibilnost da prilagodi usluge krajnjim korisnicima putem potpune kontrole konfiguracija drugog dana. Kao rezultat toga, Partner je odgovoran isključivo za odgovarajuću konfiguraciju usluge Namenske instance za okruženje krajnjeg korisnika. To uključuje, ali ne ograničavajući se na:

  • Izbor bezbednih/nebezbednih poziva, bezbednih/neobezbeđenih protokola kao što su SIP/sSIP, http/https itd i razumevanje bilo kakvih povezanih rizika.

  • Za sve MAC adrese koje nisu konfigurisane kao secure-SIP u namenskoj instanci, napadač može da pošalje poruku SIP Registrujući se koristeći tu MAC adresu i da bude u mogućnosti da uputi SIP pozive, što rezultira prevarom sa putarinom. Perkvizit je da napadač može da registruje svoj SIP uređaj/softver u Namensku instancu bez ovlašćenja ako zna MAC adresu uređaja registrovanog u namenskoj instanci.

  • Smernice za pozive Expressway-E, pravila transformacije i pretrage treba da se konfigurišu da bi se sprečile prevare sa putarinom. Za više informacija o sprečavanju prevare sa putarinom pomoću Expressways-a pogledajte Security for Expressway C i Expressway-E deo saradnje SRND.

  • Конфигурација плана бирања како би се осигурало да корисници могу да бирају само дозвољене дестинације, нпр. забрањују national/international бирање, хитни позиви се правилно усмеравају итд. За више информација о примени ограничења помоћу плана бирања погледајте одељак План бирања у оквиру програма „Collaboration SRND“.

Захтеви за сертификате за безбедне везе у наменској инстанци

Na namenskoj instanci, Cisco će obezbediti domen i potpisati sve certifikate za UC aplikacije koristeći javni autoritet za izdavanje certifikata (CA).

Наменска инстанца – бројеви портова и протоколи

Sledeće tabele opisuju portove i protokole koji su podržani u namenskoj instanci. Портови који се користе за датог клијента зависе од имплементације и решења клијента. Протоколи зависе од жеља купца (SCCP наспрам SIP), постојећих локалних уређаја и нивоа безбедности који одређује који портови ће се користити у сваком распоређивању.

Наменска инстанца не дозвољава превођење мрежних адреса (NAT) између крајњих тачака и Unified CM-а јер неке функције тока позива неће радити, на пример функција током позива.

Namenska instanca – Portovi kupaca

Portovi dostupni za kupce - između "Kupac u prostorijama" i "Namenska instanca" prikazani su u portovima namenskih instanci kupca tabele1 . Svi dole navedeni portovi su za promet klijenata koji prelazi preko vršnjačkih veza.

SNMP порт је подразумевано отворен само за Cisco Emergency Responder како би подржао своју функционалност. Пошто не подржавамо партнере или клијенте који прате UC апликације распоређене у облаку наменских инстанци, не дозвољавамо отварање SNMP порта за било коју другу UC апликацију.

SNMP порт је омогућен за апликацију Singlewire (Informacast) (само за апликацију Unified CM). Приликом слања захтева, уверите се да су IP адресе повезане са Singlewire апликацијом експлицитно наведене у одељку Разлог за дозвољавање захтева. Више информација потражите у Подигни захтев за услугу.

Портови у опсегу 5063–5080 су резервисани од стране компаније Cisco за друге cloud интеграције, а администраторима партнера или клијената се препоручује да не користе ове портове у својим конфигурацијама.

Табела 2. Портови за наменске инстанце корисника

Protokol

TCP/UDP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

SSH

TCP

Klijent

UC aplikacije

Није дозвољено за апликације Cisco Expressway.

Veće od 1023

22

Administracija

ТФТП

UDP

Krajnja tačka

Unified CM

Veće od 1023

69

Подршка за застареле крајње тачке

LDAP

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

389

Sinhronizacija direktorijuma sa LDAP klijentima

HTTPS

TCP

Pregledača

UC aplikacije

Veće od 1023

443

Web pristup za brigu o sebi i administrativne interfejse

Izlazna pošta (BEZBEDNA)

TCP

UC aplikacija

CUCxn

Veće od 1023

587

Koristi se za pisanje i slanje bezbednih poruka svim imenovanim primaocima

LDAP (BEZBEDNO)

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

636

Sinhronizacija direktorijuma sa LDAP klijentima

H323

TCP

Mrežni prolaz

Unified CM

Veće od 1023

1720

Pozivanje signalizacije

H323

TCP

Unified CM

Unified CM

Veće od 1023

1720

Pozivanje signalizacije

SCCP

TCP

Krajnja tačka

Objedinjeni CM, CUCxn

Veće od 1023

2000

Pozivanje signalizacije

SCCP

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

2000

Pozivanje signalizacije

МГЦП

UDP

Mrežni prolaz

Mrežni prolaz

Veće od 1023

2427

Pozivanje signalizacije

MGCP Backhaul

TCP

Mrežni prolaz

Unified CM

Veće od 1023

2428

Pozivanje signalizacije

SCCP (BEZBEDNO)

TCP

Krajnja tačka

Objedinjeni CM, CUCxn

Veće od 1023

2443

Pozivanje signalizacije

SCCP (BEZBEDNO)

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

2443

Pozivanje signalizacije

Verifikacija poverenja

TCP

Krajnja tačka

Unified CM

Veće od 1023

2445

Pružanje usluge provere pouzdanosti krajnjim tačkama

CTI

TCP

Krajnja tačka

Unified CM

Veće od 1023

2748

Veza između CTI aplikacija (JTAPI/TSP) i CTIManagera

Bezbedni CTI

TCP

Krajnja tačka

Unified CM

Veće od 1023

2749

Bezbedna veza između CTI aplikacija (JTAPI/TSP) i CTIManagera

LDAP globalni katalog

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

3268

Sinhronizacija direktorijuma sa LDAP klijentima

LDAP globalni katalog

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

3269

Sinhronizacija direktorijuma sa LDAP klijentima

CAPF usluga

TCP

Krajnja tačka

Unified CM

Veće od 1023

3804

Port za slušanje proxy funkcije autoriteta za izdavanje lokalno značajnih certifikata (LSC) IP telefonima

SIP

TCP

Krajnja tačka

Objedinjeni CM, CUCxn

Veće od 1023

5060

Pozivanje signalizacije

SIP

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

5060

Pozivanje signalizacije

SIP (BEZBEDNO)

TCP

Krajnja tačka

Unified CM

Veće od 1023

5061

Pozivanje signalizacije

SIP (BEZBEDNO)

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

5061

Pozivanje signalizacije

SIP (OAUTH)

TCP

Krajnja tačka

Unified CM

Veće od 1023

5090

Pozivanje signalizacije

XMPP

TCP

Jabber klijent

Cisco IM&P

Veće od 1023

5222

Neposredna razmena poruka i prisustvo

HTTP

TCP

Krajnja tačka

Unified CM

Veće od 1023

6970

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnja tačka

Unified CM

Veće od 1023

6971

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnja tačka

Unified CM

Veće od 1023

6972

Preuzimanje konfiguracije i slika na krajnje tačke

HTTP

TCP

Jabber klijent

CUCxn

Veće od 1023

7080

Obaveštenja govorne pošte

HTTPS

TCP

Jabber klijent

CUCxn

Veće od 1023

7443

Bezbedna obaveštenja govorne pošte

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7501

Koristi ga Usluga pronalaženja među naznakama (ILS) za potvrdu identiteta zasnovanu na certifikatu

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7502

Koristi ilS za potvrdu identiteta zasnovanu na lozinki

IMAP

TCP

Jabber klijent

CUCxn

Veće od 1023

7993

IMAP preko TLS-a

HTTP

TCP

Krajnja tačka

Unified CM

Veće od 1023

8080

URI директоријума за подршку за застареле крајње тачке

HTTPS

TCP

Browser, Endpoint

UC aplikacije

Veće od 1023

8443

Web pristup za brigu o sebi i administrativne interfejse, UDS

HTTPS

TCP

Telefon

Unified CM

Veće od 1023

9443

Potvrđena pretraga kontakata

HTTP-ови

TCP

Krajnja tačka

Unified CM

Veće od 1023

9444

Функција управљања слушалицама

Bezbedan RTP/SRTP

Udp

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

Bezbedan RTP/SRTP

Udp

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

КОБРЕ

TCP

Klijent

CUCxn

Veće od 1023

20532

Пакет апликација за прављење резервних копија и враћање

ICMP

ICMP

Krajnja tačka

UC aplikacije

n. p.

n. p.

Ping

ICMP

ICMP

UC aplikacije

Krajnja tačka

n. p.

n. p.

Ping
DNS UDP i TCP

DNS прослеђивач

Наменски DNS сервери за инстанце

Veće od 1023

 53

DNS прослеђивачи са претпоставке клијента ка DNS серверима наменских инстанци. Више информација потражите у захтевима за DNS.

* Određeni posebni slučajevi mogu koristiti veći opseg.

Наменска инстанца – OTT портови

Корисници и партнери могу да користе следећи порт за подешавање мобилног и удаљеног приступа (MRA):

Табела 3. Порт за OTT

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

BEZBEDAN RTP/RTCP

Udp

Аутопут Ц

Klijent

Veće od 1023

36000-59999

Bezbedni mediji za MRA i B2B pozive

Интероперативни SIP канал између вишезакупничке и наменске инстанце (само за канал заснован на регистрацији)

Следећа листа портова мора бити дозвољена на заштитном зиду клијента за SIP магистралу засновану на регистрацији која се повезује између вишезакупничке и наменске инстанце.

Sto 4. Порт за транкове засноване на регистрацији

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

RTP/RTCP

UDP

Webex Calling Multitenant

Klijent

Veće od 1023

8000-48198

Медији из Webex Calling Multitenant-а

Наменска инстанца – UCCX портови

Sledeću listu portova mogu da koriste klijenti i partneri za konfigurisanje UCCX-a.

Sto 5. Cisco UCCX portovi

Protokol

TCP / UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

SSH

TCP

Klijent

UCCX

Veće od 1023

22

SFTP i SSH

Informix

TCP

Klijent ili server

UCCX

Veće od 1023

1504

Порт базе података Contact Center Express

SIP

UDP i TCP

SIP GW ili MCRP server

UCCX

Veće od 1023

5065

Komunikacija sa udaljenim GW i MCRP čvorovima

XMPP

TCP

Klijent

UCCX

Veće od 1023

5223

Bezbedna XMPP veza između Finesse servera i prilagođenih aplikacija nezavisnih proizvođača

CVD

TCP

Klijent

UCCX

Veće od 1023

6999

Uređivač u CCX aplikacije

HTTPS

TCP

Klijent

UCCX

Veće od 1023

7443

Bezbedna BOSH veza između Finesse servera i agenta i supervizora za komunikaciju preko HTTPS-a

HTTP

TCP

Klijent

UCCX

Veće od 1023

8080

Клијенти за извештавање о подацима уживо се повезују са socket.IO сервером

HTTP

TCP

Klijent

UCCX

Veće od 1023

8081

Pregledač klijenta pokušava da pristupi veb interfejsu Cisco Unified Intelligence Center

HTTP

TCP

Klijent

UCCX

Veće od 1023

8443

Администраторски графички кориснички интерфејс, RTMT, приступ бази података преко SOAP-а

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8444

Cisco Unified Intelligence Center web interfejs

HTTPS

TCP

Klijenti pregledača i REST-a

UCCX

Veće od 1023

8445

Bezbedna luka za Finesse

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8447

HTTPS - Pomoć objedinjene obaveštajne službe na mreži

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8553

Компоненте за јединствено пријављивање (SSO) приступају овом интерфејсу да би знале оперативни статус Cisco IdS-а.

HTTP

TCP

Klijent

UCCX

Veće od 1023

9080

Klijenti koji pokušavaju da pristupe HTTP okidačima ili dokumentima / odzivima / gramatici / podacima uživo.

HTTPS

TCP

Klijent

UCCX

Veće od 1023

9443

Bezbedan port koji se koristi za odgovaranje klijentima koji pokušavaju da pristupe HTTPS okidačima

TCP

TCP

Klijent

UCCX

Veće od 1023

12014

Ово је порт где клијенти за извештавање о подацима уживо могу да се повежу са socket.IO сервером

TCP

TCP

Klijent

UCCX

Veće od 1023

12015

Ово је порт где клијенти за извештавање о подацима уживо могу да се повежу са socket.IO сервером

CTI

TCP

Klijent

UCCX

Veće od 1023

12028

CTI клијент треће стране за CCX

RTP(Mediji)

TCP

Krajnja tačka

UCCX

Veće od 1023

Veće od 1023

Port za medije se po potrebi otvara dinamički

RTP(Mediji)

TCP

Klijent

Krajnja tačka

Veće od 1023

Veće od 1023

Port za medije se po potrebi otvara dinamički

Безбедност клијента

Obezbeđivanje Jabber-a i Webex-a sa SIP OAuth-om

Klijenti za jabber i Webex su potvrđeni putem OAuth tokena umesto lokalno značajnog certifikata (LSC), koji ne zahteva omogućavanje proxy funkcije autoriteta za izdavanje certifikata (CAPF). SIP OAuth koji radi sa ili bez mešovitog režima uveden je u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

U Cisco Unified CM 12.5 imamo novu opciju u Profilu bezbednosti telefona koja omogućava šifrovanje bez LSC/CAPF, koristeći single Transport Layer Security (TLS) + OAuth token u SIP REGISTER-u. Expressway-C čvorovi koriste API administrativne XML Web usluge (AXL) da bi obavestili Cisco Unified CM o SN/SAN u svom certifikatu. Cisco Unified CM koristi ove informacije za proveru valjanosti Exp-C certifikata prilikom uspostavljanja međusobne TLS veze.

SIP OAuth omogućava šifrovanje medija i signalizacije bez certifikata krajnje tačke (LSC).

Cisco Jabber koristi Efemeralne portove i bezbedne portove 6971 i 6972 portove putem HTTPS veze sa TFTP serverom za preuzimanje konekcionih datoteka. Port 6970 je nesiguran port za preuzimanje preko HTTP-a.

Više detalja o SIP OAuth konfiguraciji: SIP OAuth режим.

Захтеви за DNS

Za namensku instancu Cisco obezbeđuje FQDN za uslugu u svakom regionu sa sledećim formatom <customer>.<region>. wxc-di.webex.com, na primer, xyz.amer.wxc-di.webex.com.

Vrednost "kupac" obezbeđuje administrator kao deo čarobnjaka za instalaciju prvog puta (FTSW). Za više informacija pogledajte aktivaciju usluge namenske instance.

DNS zapisi za ovaj FQDN moraju biti rešavani sa internog DNS servera klijenta da bi se podržali uređaji koji se povezuju sa namenskom instancom. Da bi olakšao rešavanje, klijent mora da konfiguriše uslovni prosleđivanje za ovaj FQDN na svom DNS serveru koji pokazuje na DNS uslugu namenske instance. DNS сервис наменске инстанце је регионалан и може се до њега доћи путем повезивања са наменском инстанцом користећи следеће IP адресе као што је наведено у доњој табели IP адреса DNS сервиса наменске инстанце.

Sto 6. IP adresa namenske instance DNS usluge

Region/DC

IP adresa namenske instance DNS usluge

Primer uslovnog prosleđivanja

AMER

 <customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

AMS

178.215.138.228

Evropska unija

<customer>.eu.wxc-di.webex.com

ФРА

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Greh

103.232.71.100

ТКИ

103.232.71.228

AUS

 <customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Sid

178.215.128.228

UK

 <customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

ЧОВЕК

178.215.135.228

KSA

 <customer>.sa.wxc-di.webex.com

ЏЕД

 178.215.140.100

РХУ

 178.215.140.228

Opcija pinga je onemogućena za gore pomenute IP adrese DNS servera iz bezbednosnih razloga.

Dok uslovno prosleđivanje ne bude postavljeno, uređaji neće moći da se registruju u namensku instancu sa interne mreže klijenata putem peering linkova. Uslovno prosleđivanje nije neophodno za registraciju putem mobilnog i daljinskog pristupa (MRA), jer će sve potrebne spoljne DNS zapise za olakšavanje MRA unapred obezbediti Cisco.

Kada koristite Webex aplikaciju kao mekog klijenta za pozivanje u namenskoj instanci, UC Manager profil mora biti konfigurisan u kontrolnom čvorištu za domen glasovne usluge (VSD) svakog regiona. Za više informacija pogledajte profile UC Managera u Cisco Webex kontrolnom čvorištu. Webex aplikacija će moći automatski da reši Expressway Edge kupca bez intervencije krajnjeg korisnika.

Domen glasovne usluge će biti dostavljen kupcu kao deo dokumenta o pristupu partneru kada se aktivacija usluge dovrši.

Користите локални рутер за разрешавање DNS-а телефона

За телефоне који немају приступ корпоративним DNS серверима, могуће је користити локални Cisco рутер за прослеђивање DNS захтева на DNS сервис у облаку наменске инстанце. Ово елиминише потребу за инсталирањем локалног DNS сервера и пружа потпуну DNS подршку, укључујући кеширање.

Пример конфигурације :

!

ИП ДНС сервер

IP именски сервер <DI DNS Server IP DC1> <DI DNS Server IP DC2>

!

Употреба DNS-а у овом моделу имплементације је специфична за телефоне и може се користити само за решавање FQDN-ова са доменом из наменске инстанце клијента.

Резолуција DNS-а телефона