- Početak
- /
- Članak
Hvala na povratnim informacijama.
Namenski zahtevi za mrežu i bezbednost
U ovom članku
Povratne informacije?Mrežni i bezbednosni zahtevi za rešenje Dedicated Instance su slojeviti pristup karakteristikama i funkcionalnostima koje obezbeđuju siguran fizički pristup, mrežu, krajnje tačke i Cisco UC aplikacije. Opisuje mrežne zahteve i navodi adrese, portove i protokole koji se koriste za povezivanje krajnjih tačaka sa uslugama.
Mrežni zahtevi za namensku instancu
Vebek Calling Dedicated Instance je deo Cisco Cloud Calling portfelja, koji pokreće Cisco Unified Communications Manager (Cisco Unified CM) tehnologija saradnje. Dedicated Instance nudi rešenja za glas, video, razmenu poruka i mobilnost sa karakteristikama i prednostima Cisco IP telefona, mobilnih uređaja i desktop klijenata koji se sigurno povezuju sa namenskom instancom.
Ovaj članak je namenjen mrežnim administratorima, posebno zaštitnim zidovima i administratorima proki bezbednosti koji žele da koriste namensku instancu u svojoj organizaciji.
Pregled bezbednosti: Bezbednost u slojevima
Dedicated Instance koristi slojeviti pristup za sigurnost. Slojevi uključuju:
-
Fizički pristup
-
Mreža
-
Krajnje tačke
-
UC aplikacije
Sledeći odeljci opisuju slojeve bezbednosti u primeni namenske instance.
Fizička bezbednost
Važno je obezbediti fizičku sigurnost lokacijama Ekuinik Meet-Me Room i Cisco Dedicated Instance Data Center objektima. Kada je ugrožena fizička bezbednost, mogu se pokrenuti jednostavni napadi kao što je prekid usluge isključivanjem napajanja prekidača kupca. Sa fizičkim pristupom, napadači mogu dobiti pristup serverskim uređajima, resetovanje lozinki, i dobiti pristup prekidačima. Fizički pristup takođe olakšava sofisticiranije napade kao što su napadi čoveka u sredini, zbog čega je drugi bezbednosni sloj, bezbednost mreže, kritičan.
Samošifrovani diskovi se koriste u namenskim centrima za podatke koji hostuju UC aplikacije.
Za više informacija o opštim bezbednosnim praksama, pogledajte dokumentaciju na sledećoj lokaciji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Bezbednost mreže
Partneri moraju osigurati da su svi mrežni elementi osigurani u infrastrukturi Dedicated Instance (koja se povezuje preko Ekuinika). Odgovornost partnera je da obezbedi najbolje bezbednosne prakse kao što su:
-
Odvojeni VLAN za glas i podatke
-
Enable Port Security koji ograničava broj MAC adresa dozvoljenih po portu, protiv poplave CAM tabele
-
IP Izvor - Čuvajte se od lažnih IP adresa
-
Dinamička ARP inspekcija (DAI) ispituje protokol za rešavanje adresa (ARP) i besplatan ARP (GARP) za kršenja (protiv ARP prevare)
-
802.1x ograničava pristup mreži za autentifikaciju uređaja na dodeljenim VLAN-ovima (telefoni ne podržavaju 802.1x)
-
Konfiguracija kvaliteta usluge (KoS) za odgovarajuće obeležavanje glasovnih paketa
-
Konfiguracije portova zaštitnog zida za blokiranje bilo kog drugog saobraćaja
Bezbednost krajnjih tačaka
Cisco krajnje tačke podržavaju podrazumevane sigurnosne funkcije kao što su potpisani firmver, sigurno pokretanje (odabrani modeli), sertifikat instaliran proizvođačem (MIC) i potpisane konfiguracione datoteke, koje pružaju određeni nivo sigurnosti za krajnje tačke.
Pored toga, partner ili kupac može omogućiti dodatnu sigurnost, kao što su:
-
Šifrovanje IP telefonskih usluga (preko HTTPS-a) za usluge kao što je Ektension Mobiliti
-
Izdavanje lokalno značajnih sertifikata (LSC) iz funkcije proki autoriteta za sertifikate (CAPF) ili javnog autoriteta za sertifikate (CA)
-
Šifrovanje konfiguracionih datoteka
-
Šifrovanje medija i signalizacije
-
Isključite ove postavke ako se ne koriste: PC port, PC Voice VLAN Access, besplatan ARP, Veb Access, dugme za podešavanja, SSH, konzola
Implementacija bezbednosnih mehanizama u namenskoj instanci sprečava krađu identiteta telefona i Unified CM servera, neovlašćeno rukovanje podacima i signalizaciju poziva / medijski tok.
Dedicated Instance preko mreže:
-
Uspostavlja i održava autentifikovane komunikacijske tokove
-
Digitalno potpisuje datoteke pre prenosa datoteke na telefon
-
Šifrira medijske tokove i signalizaciju poziva između Cisco Unified IP telefona
Bezbednost po defaultu obezbeđuje sledeće automatske bezbednosne funkcije za Cisco Unified IP telefone:
-
Potpisivanje konfiguracionih fajlova telefona
-
Podrška za šifrovanje datoteka za konfiguraciju telefona
-
HTTPS sa Tomcat i drugim Veb servisima (MIDlets)
Za Unified CM Release KSNUMKS kasnije, ove sigurnosne funkcije su podrazumevano obezbeđene bez pokretanja klijenta Certificate Trust List (CTL).
Servis za verifikaciju poverenjaZbog toga što postoji veliki broj telefona u mreži i IP telefoni imaju ograničenu memoriju, Cisco Unified CM deluje kao udaljena prodavnica poverenja preko Trust Verification Service (TVS), tako da sertifikat poverenje prodavnica ne mora da bude postavljen na svakom telefonu. Cisco IP telefoni kontaktiraju TVS server radi verifikacije jer ne mogu da verifikuju potpis ili sertifikat putem CTL ili ITL datoteka. Imati centralnu prodavnicu poverenja je lakše upravljati nego imati prodavnicu poverenja na svakom Cisco Unified IP telefonu.
TVS omogućava Cisco Unified IP telefonima da autentifikuju aplikativne servere, kao što su EM usluge, direktorijum i MIDlet, tokom uspostavljanja HTTPS-a.
Inicijalna lista poverenjaDatoteka inicijalne liste poverenja (ITL) se koristi za početnu sigurnost, tako da krajnje tačke mogu da veruju Cisco Unified CM-u. ITL ne treba nikakve bezbednosne funkcije da budu eksplicitno omogućene. ITL datoteka se automatski kreira kada je klaster instaliran. Privatni ključ servera Unified CM Trivial File Transfer Protocol (TFTP) se koristi za potpisivanje ITL datoteke.
Kada je Cisco Unified CM klaster ili server u ne-sigurnom režimu, ITL datoteka se preuzima na svakom podržanom Cisco IP telefonu. Partner može da vidi sadržaj ITL datoteke koristeći CLI komandu, admin:shov itl.
Po defaultu, administrator partnera dobija pristup nivou KSNUMKS za CLI. Pogledajte O CLI-u za više informacija i da vidite koje su komande dozvoljene na nivou KSNUMKS.
Cisco IP telefonima je potrebna ITL datoteka za obavljanje sledećih zadataka:
-
Bezbedno komunicirajte sa CAPF-om, što je preduslov za podršku šifrovanju konfiguracionih datoteka
-
Potvrdite autentičnost potpisa konfiguracione datoteke
-
Potvrdite autentičnost aplikativnih servera, kao što su EM usluge, direktorijum i MIDlet tokom uspostavljanja HTTPS-a koristeći TVS
Autentifikacija uređaja, datoteka i signalizacije oslanjaju se na kreiranje datoteke Certificate Trust List (CTL), koja se kreira kada partner ili klijent instalira i konfiguriše Cisco Certificate Trust List Client.
CTL datoteka sadrži unose za sledeće servere ili sigurnosne tokene:
-
Sigurnosni token administratora sistema (SAST)
-
Cisco CallManager i Cisco TFTP usluge koje se pokreću na istom serveru
-
Proxy funkcija autoriteta za izdavanje certifikata (CAPF)
-
TFTP server(i)
-
ASA zaštitni zid
CTL datoteka sadrži sertifikat servera, javni ključ, serijski broj, potpis, ime izdavača, ime subjekta, funkciju servera, DNS ime i IP adresu za svaki server.
Bezbednost telefona sa CTL-om pruža sledeće funkcije:
-
Autentifikacija TFTP preuzetih datoteka (konfiguracija, lokal, lista zvona i tako dalje) pomoću ključa za potpisivanje
-
Šifrovanje TFTP konfiguracionih datoteka pomoću ključa za potpisivanje
-
Šifrovana signalizacija poziva za IP telefone
-
Šifrovani audio poziv (mediji) za IP telefone
Dedicated Instance obezbeđuje registraciju krajnjih tačaka i obradu poziva. Signalizacija između Cisco Unified CM-a i krajnjih tačaka zasniva se na protokolu Secure Skinni Client Control Protocol (SCCP) ili Session Initiation Protocol (SIP) i može se šifrirati pomoću Transport Laier Securiti (TLS). Mediji od / do krajnjih tačaka zasnovani su na protokolu transporta u realnom vremenu (RTP) i mogu se šifrirati pomoću Secure RTP (SRTP).
Omogućavanje mešovitog režima na Unified CM-u omogućava enkripciju signalizacije i medijskog saobraćaja od i do Cisco krajnjih tačaka.
Sigurne UC aplikacije
Omogućavanje mešovitog režima u namenskoj instanciMešoviti režim je podrazumevano omogućen u namenskoj instanci.
Omogućavanje mešovitog režima u Dedicated Instance omogućava mogućnost enkripcije signalizacije i medijskog saobraćaja od i do Cisco krajnjih tačaka.
Od Cisco Unified CM izdanja KSNUMKS (KSNUMKS), dodana je nova opcija za omogućavanje enkripcije signalizacije i medija zasnovanih na SIP OAuth-u umesto mešovitog režima / CTL za Jabber i Vebek klijente. Stoga, u Unified CM izdanju KSNUMKS (KSNUMKS), SIP OAuth i SRTP se mogu koristiti za omogućavanje enkripcije za signalizaciju i medije za Jabber ili Vek klijente. Omogućavanje mešovitog režima i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje tačke u ovom trenutku. Postoji plan da se doda podrška za SIP OAuth u 7800/8800 krajnjim tačkama u budućem izdanju.
Bezbednost glasovnih porukaCisco Uniti Connection povezuje se sa Unified CM-om preko TLS porta. Kada režim bezbednosti uređaja nije siguran, Cisco Uniti Connection se povezuje sa Unified CM-om preko SCCP porta.
Da biste konfigurisali bezbednost za Unified CM portove za glasovne poruke i Cisco Uniti uređaje koji pokreću SCCP ili Cisco Uniti Connection uređaje koji pokreću SCCP, partner može da izabere bezbedni režim bezbednosti uređaja za port. Ako izaberete autentifikovani port govorne pošte, otvara se TLS konekcija koja potvrđuje autentičnost uređaja pomoću međusobne razmene sertifikata (svaki uređaj prihvata sertifikat drugog uređaja). Ako izaberete šifrovani port govorne pošte, sistem prvo potvrđuje autentičnost uređaja, a zatim šalje šifrovane glasovne tokove između uređaja.
Za više informacija o portovima za bezbednosne glasovne poruke, pogledajte odeljak Bezbednost glasovnih poruka u Bezbednosnom vodiču za Cisco Unified Communications Manager.
Bezbednost za SRST, Trunks, Gatevai, CUBE / SBC
Cisco Unified Survivable Remote Site Telephoni (SRST) omogućen gatevai pruža ograničene zadatke obrade poziva ako Cisco Unified CM na namenskoj instanci ne može da završi poziv.
Secure SRST-omogućeni gatevai sadrže samopotpisani sertifikat. Nakon što partner izvrši zadatke konfiguracije SRST-a u Unified CM administraciji, Unified CM koristi TLS vezu za autentifikaciju sa uslugom provajdera sertifikata u prolazu sa omogućenim SRST-om. Unified CM zatim preuzima sertifikat iz prolaza sa omogućenim SRST-om i dodaje sertifikat u bazu podataka Unified CM.
Nakon što partner resetuje zavisne uređaje u Unified CM administraciji, TFTP server dodaje SRST-omogućen gatevai sertifikat u datoteku telefona cnf.xml i šalje datoteku na telefon. Siguran telefon zatim koristi TLS vezu za interakciju sa SRST-omogućenim gatevai-om.
Preporučuje se da imate sigurne debla za poziv koji potiče od Cisco Unified CM-a do gatevai-a za odlazne PSTN pozive ili prelazak kroz Cisco Unified Border Element (CUBE).
SIP trunks može da podrži sigurne pozive i za signalizaciju kao i medije; TLS obezbeđuje šifrovanje signalizacije, a SRTP obezbeđuje enkripciju medija.
Obezbeđivanje komunikacije između Cisco Unified CM i CUBE
Za sigurnu komunikaciju između Cisco Unified CM i CUBE, partneri / kupci moraju koristiti ili samopotpisani sertifikat ili CA-potpisane sertifikate.
Za samopotpisane sertifikate:
-
CUBE i Cisco Unified CM generišu samopotpisane sertifikate
-
CUBE izvozi sertifikat u Cisco Unified CM
-
Cisco Unified CM izvozi sertifikat u CUBE
Za sertifikate potpisane od CA:
-
Klijent generiše par ključeva i šalje zahtev za potpisivanje sertifikata (CSR) autoritetu za sertifikate (CA)
-
CA ga potpisuje svojim privatnim ključem, stvarajući sertifikat o identitetu
-
Klijent instalira listu pouzdanih CA Root i posredničkih sertifikata i sertifikata identiteta
Bezbednost za udaljene krajnje tačke
Sa krajnjim tačkama mobilnog i daljinskog pristupa (MRA), signalizacija i mediji su uvek šifrovani između MRA krajnjih tačaka i čvorova autoputa. Ako se za MRA krajnje tačke koristi protokol za uspostavljanje interaktivnog povezivanja (ICE), potrebna je signalizacija i medijska enkripcija MRA krajnjih tačaka. Međutim, šifrovanje signalizacije i medija između Autoput-C i internih Unified CM servera, internih krajnjih tačaka ili drugih internih uređaja, zahteva mešoviti režim ili SIP OAuth.
Cisco Autoput obezbeđuje siguran prelazak zaštitnog zida i podršku na liniji za Unified CM registracije. Unified CM obezbeđuje kontrolu poziva za mobilne i lokalne krajnje tačke. Signalizacija prolazi kroz rešenje autoputa između udaljene krajnje tačke i Unified CM-a. Mediji prolaze kroz rešenje autoputa i prenose se direktno između krajnjih tačaka. Svi mediji su šifrovani između Autoput-C i mobilne krajnje tačke.
Svako MRA rešenje zahteva Autoput i Unified CM, sa MRA-kompatibilnim mekim klijentima i / ili fiksnim krajnjim tačkama. Rešenje može opciono uključivati IM i Presence Service i Uniti Connection.
Rezime protokola
Sledeća tabela prikazuje protokole i povezane usluge koje se koriste u Unified CM rešenju.
|
Protokol |
Bezbednost |
Usluga |
|---|---|---|
|
SIP |
TLS |
Osnivanje sesije: Registrujte se, pozovite itd. |
|
Mapa sajta |
TLS |
Prijava, obezbeđivanje / konfiguracija, direktorijum, vizuelna govorna pošta |
|
Mediji |
SRTP |
Mediji: Audio, video, deljenje sadržaja |
|
XMPP |
TLS |
Instant poruke, prisustvo, federacija |
Za više informacija o MRA konfiguraciji, pogledajte: Odeljak MRA Scenarios za mobilne uređaje i daljinski pristup kroz Cisco Autoput Deployment Guide.
Opcije konfiguracije
Dedicated Instance pruža partneru fleksibilnost da prilagodi usluge za krajnje korisnike kroz potpunu kontrolu konfiguracija drugog dana. Kao rezultat toga, Partner je isključivo odgovoran za pravilnu konfiguraciju usluge Dedicated Instance za okruženje krajnjeg korisnika. Ovo uključuje, ali ne ograničavajući se na:
-
Izbor sigurnih / ne-sigurnih poziva, sigurnih / nesigurnih protokola kao što su SIP / sSIP, http / https itd. I razumevanje svih povezanih rizika.
-
Za sve MAC adrese koje nisu konfigurisane kao secure-SIP u Dedicated Instance, napadač može da pošalje SIP Register poruku koristeći tu MAC adresu i biti u mogućnosti da SIP pozive, što dovodi do prevare sa naplatom putarine. Uslov je da napadač može da registruje svoj SIP uređaj / softver na Dedicated Instance bez ovlašćenja ako znaju MAC adresu uređaja registrovanog u Dedicated Instance.
-
Autoput-E poziv politike, transform i pravila pretrage treba da budu konfigurisani kako bi se sprečilo prevaru putarine. Za više informacija o sprečavanju prevare sa naplatom putarine pomoću autoputeva pogledajte Bezbednost za autoput C i Autoput-E odeljak saradnje SRND.
-
Konfiguracija plana biranja kako bi se osiguralo da korisnici mogu birati samo destinacije koje su dozvoljene npr. zabraniti nacionalno / međunarodno biranje, hitni pozivi su pravilno usmereni itd.
Za više informacija o primeni ograničenja korišćenja plana biranja za Cisco Unified Communications Manager KSNUMKS.k i iznad, pogledajte Dial Plan odeljak za saradnju SRND.
Za više informacija o testiranim i preporučenim modelima primene, pogledajte Preferirana arhitektura za Cisco Collaboration Release KSNUMKS On-Premises Deployments.
Zahtevi za sertifikate za sigurne veze u namenskoj instanci
Za namensku instancu, Cisco će obezbediti domen i potpisati sve sertifikate za UC aplikacije koristeći javni autoritet za sertifikate (CA).
Dedicated Instance – brojevi portova i protokoli
Sledeće tabele opisuju portove i protokole koji su podržani u namenskoj instanci. Portovi koji se koriste za datog kupca zavise od raspoređivanja i rešenja kupca. Protokoli zavise od preferencija kupca (SCCP vs SIP), postojećih lokalnih uređaja i nivoa sigurnosti kako bi se odredilo koji će se portovi koristiti u svakom raspoređivanju.
Dedicated Instance ne dozvoljava prevođenje mrežnih adresa (NAT) između krajnjih tačaka i Unified CM-a, jer neke od funkcija toka poziva neće raditi, na primer funkcija sredinom poziva.
Dedicated Instance – Customer Ports
Portovi na raspolaganju za kupce - između klijenta u lokalnom okruženju i Dedicated Instance je prikazan u tabeli 1 Dedicated Instance Customer Ports. Svi portovi navedeni u nastavku su za saobraćaj kupaca koji prelaze peering veze.
SNMP port je podrazumevano otvoren samo za Cisco Emergency Responder da podrži njegovu funkcionalnost. Pošto ne podržavamo partnere ili kupce koji prate UC aplikacije raspoređene u oblaku Dedicated Instance, ne dozvoljavamo otvaranje SNMP porta za bilo koje druge UC aplikacije.
SNMP port je omogućen za aplikaciju Singlevire (Informacast) (samo za Unified CM aplikaciju). Prilikom podnošenja zahteva, uverite se da su IP adrese povezane sa aplikacijom Singlevire eksplicitno navedene u odeljku Razlog za dopuštanje zahteva. Pogledajte Raise Service Request za više informacija.
Portovi u opsegu 5063–5080 su rezervisani od strane Cisco-a za druge integracije u oblaku, partnerima ili administratorima kupaca se preporučuje da ne koriste ove portove u svojim konfiguracijama.
|
Protokol |
TCP / UDP |
Izvor |
Odredište |
Izvorni port |
Odredišni priključak |
Svrha |
|---|---|---|---|---|---|---|
|
Bilten |
TCP |
Klijent |
UC aplikacije Nije dozvoljeno za Cisco Autoput aplikacije. |
Veći od 1023 |
22 |
Administracija |
|
TFTP |
UDP |
Krajnja tačka |
Unified CM |
Veći od 1023 |
69 |
Podrška za nasleđene krajnje tačke |
|
LDAP |
TCP |
UC aplikacije |
Spoljni direktorijum |
Veći od 1023 |
389 |
Sinhronizacija direktorijuma sa LDAP-om kupca |
|
Mapa sajta |
TCP |
Pregledač |
UC aplikacije |
Veći od 1023 |
443 |
Veb pristup za samopomoć i administrativne interfejse |
|
Odlazna pošta (SECURE) |
TCP |
Aplikacija UC |
OMILjENO |
Veći od 1023 |
587 |
Koristi se za sastavljanje i slanje sigurnih poruka svim određenim primaocima |
|
LDAP (SIGURNO) |
TCP |
UC aplikacije |
Spoljni direktorijum |
Veći od 1023 |
636 |
Sinhronizacija direktorijuma sa LDAP-om kupca |
|
H323 |
TCP |
Mrežni prolaz |
Unified CM |
Veći od 1023 |
1720 |
Pozivna signalizacija |
|
H323 |
TCP |
Unified CM |
Unified CM |
Veći od 1023 |
1720 |
Pozivna signalizacija |
|
SCCP |
TCP |
Krajnja tačka |
Jedinstveni CM, CUCkn |
Veći od 1023 |
2000 |
Pozivna signalizacija |
|
SCCP |
TCP |
Unified CM |
Jedinstveni CM, Gatevai |
Veći od 1023 |
2000 |
Pozivna signalizacija |
|
MGCP |
UDP |
Mrežni prolaz |
Mrežni prolaz |
Veći od 1023 |
2427 |
Pozivna signalizacija |
|
MGCP Backhaul |
TCP |
Mrežni prolaz |
Unified CM |
Veći od 1023 |
2428 |
Pozivna signalizacija |
|
SCCP (SIGURNO) |
TCP |
Krajnja tačka |
Jedinstveni CM, CUCkn |
Veći od 1023 |
2443 |
Pozivna signalizacija |
|
SCCP (SIGURNO) |
TCP |
Unified CM |
Jedinstveni CM, Gatevai |
Veći od 1023 |
2443 |
Pozivna signalizacija |
|
Verifikacija poverenja |
TCP |
Krajnja tačka |
Unified CM |
Veći od 1023 |
2445 |
Pružanje usluge verifikacije poverenja krajnjim tačkama |
|
CTI |
TCP |
Krajnja tačka |
Unified CM |
Veći od 1023 |
2748 |
Veza između CTI aplikacija (JTAPI / TSP) i CTIManager |
|
Sigurna ЦTI |
TCP |
Krajnja tačka |
Unified CM |
Veći od 1023 |
2749 |
Sigurna veza između CTI aplikacija (JTAPI / TSP) i CTIManager |
|
LDAP Globalni katalog |
TCP |
UC aplikacije |
Spoljni direktorijum |
Veći od 1023 |
3268 |
Sinhronizacija direktorijuma sa LDAP-om kupca |
|
LDAP Globalni katalog |
TCP |
UC aplikacije |
Spoljni direktorijum |
Veći od 1023 |
3269 |
Sinhronizacija direktorijuma sa LDAP-om kupca |
|
CAPF servis |
TCP |
Krajnja tačka |
Unified CM |
Veći od 1023 |
3804 |
Sertifikat Autoritet Proki Function (CAPF) slušanje port za izdavanje lokalno značajnih sertifikata (LSC) za IP telefone |
|
SIP |
TCP |
Krajnja tačka |
Jedinstveni CM, CUCkn |
Veći od 1023 |
5060 |
Pozivna signalizacija |
|
SIP |
TCP |
Unified CM |
Jedinstveni CM, Gatevai |
Veći od 1023 |
5060 |
Pozivna signalizacija |
|
SIP (SIGURNO) |
TCP |
Krajnja tačka |
Unified CM |
Veći od 1023 |
5061 |
Pozivna signalizacija |
|
SIP (SIGURNO) |
TCP |
Unified CM |
Jedinstveni CM, Gatevai |
Veći od 1023 |
5061 |
Pozivna signalizacija |
|
SIP (OAUTH) |
TCP |
Krajnja tačka |
Unified CM |
Veći od 1023 |
5090 |
Pozivna signalizacija |
|
XMPP |
TCP |
Jabber klijent |
Cisco IM&P |
Veći od 1023 |
5222 |
Instant poruke i prisustvo |
|
Pretraga |
TCP |
Krajnja tačka |
Unified CM |
Veći od 1023 |
6970 |
Preuzimanje konfiguracije i slika na krajnje tačke |
|
Mapa sajta |
TCP |
Krajnja tačka |
Unified CM |
Veći od 1023 |
6971 |
Preuzimanje konfiguracije i slika na krajnje tačke |
|
Mapa sajta |
TCP |
Krajnja tačka |
Unified CM |
Veći od 1023 |
6972 |
Preuzimanje konfiguracije i slika na krajnje tačke |
|
Pretraga |
TCP |
Jabber klijent |
OMILjENO |
Veći od 1023 |
7080 |
Obaveštenja govorne pošte |
|
Mapa sajta |
TCP |
Jabber klijent |
OMILjENO |
Veći od 1023 |
7443 |
Sigurna obaveštenja o govornoj pošti |
|
Mapa sajta |
TCP |
Unified CM |
Unified CM |
Veći od 1023 |
7501 |
Koristi Intercluster Lookup Service (ILS) za autentifikaciju zasnovanu na sertifikatu |
|
Mapa sajta |
TCP |
Unified CM |
Unified CM |
Veći od 1023 |
7502 |
Koristi ILS za autentifikaciju zasnovanu na lozinki |
|
IMAP |
TCP |
Jabber klijent |
OMILjENO |
Veći od 1023 |
7993 |
IMAP preko TLS-a |
|
Pretraga |
TCP |
Krajnja tačka |
Unified CM |
Veći od 1023 |
8080 |
URI direktorijuma za podršku za nasleđene krajnje tačke |
|
Mapa sajta |
TCP |
Pretraživač, Krajnja tačka |
UC aplikacije |
Veći od 1023 |
8443 |
Veb pristup za samopomoć i administrativne interfejse, UDS |
|
Mapa sajta |
TCP |
Telefon |
Unified CM |
Veći od 1023 |
9443 |
Autentifikovana pretraga kontakata |
|
HTTP-ovi |
TCP |
Krajnja tačka |
Unified CM |
Veći od 1023 |
9444 |
Funkcija upravljanja slušalicama |
|
Sigurna RTP / SRTP |
UDP |
Unified CM |
Telefon |
16384 do 32767 * |
16384 do 32767 * |
Mediji (audio) - Muzika na čekanju, Najavitelj, Softver Konferencijski most (Otvoren na osnovu signalizacije poziva) |
|
Sigurna RTP / SRTP |
UDP |
Telefon |
Unified CM |
16384 do 32767 * |
16384 do 32767 * |
Mediji (audio) - Muzika na čekanju, Najavitelj, Softver Konferencijski most (Otvoren na osnovu signalizacije poziva) |
|
KOBRE |
TCP |
Klijent |
OMILjENO |
Veći od 1023 |
20532 |
Napravite rezervnu kopiju i vratite paket aplikacija |
|
Bilten |
Bilten |
Krajnja tačka |
UC aplikacije |
n. p. |
n. p. |
Ping |
|
Bilten |
Bilten |
UC aplikacije |
Krajnja tačka |
n. p. |
n. p. |
Ping |
| DNS | UDP i TCP |
DNS prosleđivač |
Dedicated Instance DNS serveri |
Veći od 1023 |
53 |
Korisnički premise DNS prosleđivači na DNS servere namenske instance. Pogledajte DNS zahteve za više informacija. |
|
* Određeni posebni slučajevi mogu koristiti veći opseg. |
||||||
Dedicated Instance – OTT portovi
Sledeći port mogu koristiti korisnici i partneri za podešavanje mobilnog i daljinskog pristupa (MRA):
|
Protokol |
TCP / UCP |
Izvor |
Odredište |
Izvorni port |
Odredišni priključak |
Svrha |
|---|---|---|---|---|---|---|
|
SIGURNA RTP / RTCP |
UDP |
Autoput C |
Klijent |
Veći od 1023 |
36000-59999 |
Sigurni mediji za MRA i B2B pozive |
Inter-op SIP prtljažnik između Multi-Tenant-a i Dedicated Instance (samo za prtljažnik zasnovan na registraciji)
Sledeća lista portova mora biti dozvoljena na zaštitnom zidu kupca za SIP prtljažnik zasnovan na registraciji koji se povezuje između Multi-Tenant-a i Dedicated Instance.
|
Protokol |
TCP / UCP |
Izvor |
Odredište |
Izvorni port |
Odredišni priključak |
Svrha |
|---|---|---|---|---|---|---|
|
RTP / RTCP |
UDP |
Vebek Calling Multi-Tenant |
Klijent |
Veći od 1023 |
8000-48198 |
Mediji iz Vebek Calling Multi-Tenant-a |
Dedicated Instance – UCCX portovi
Sledeća lista portova može da se koristi od strane kupaca i partnera za konfigurisanje UCCKS.
|
Protokol |
TCP / UCP |
Izvor |
Odredište |
Izvorni port |
Odredišni priključak |
Svrha |
|---|---|---|---|---|---|---|
|
Bilten |
TCP |
Klijent |
UCCX |
Veći od 1023 |
22 |
SFTP i SSH |
|
Bilten |
TCP |
Klijent ili server |
UCCX |
Veći od 1023 |
1504 |
Kontakt centar Ekspres port baze podataka |
|
SIP |
UDP i TCP |
SIP GV ili MCRP server |
UCCX |
Veći od 1023 |
5065 |
Komunikacija sa udaljenim GV i MCRP čvorovima |
|
XMPP |
TCP |
Klijent |
UCCX |
Veći od 1023 |
5223 |
Sigurna KSMPP veza između Finesse servera i prilagođenih aplikacija nezavisnih proizvođača |
|
Bilten |
TCP |
Klijent |
UCCX |
Veći od 1023 |
6999 |
Urednik za CCKS aplikacije |
|
Mapa sajta |
TCP |
Klijent |
UCCX |
Veći od 1023 |
7443 |
Sigurna BOSH veza između Finesse servera i agenta i supervizora desktopa za komunikaciju preko HTTPS-a |
|
Pretraga |
TCP |
Klijent |
UCCX |
Veći od 1023 |
8080 |
Klijenti za izveštavanje o živim podacima povezuju se na utičnicu. IO server |
|
Pretraga |
TCP |
Klijent |
UCCX |
Veći od 1023 |
8081 |
Pretraživač klijenta pokušava da pristupi veb interfejsu Cisco Unified Intelligence Center |
|
Pretraga |
TCP |
Klijent |
UCCX |
Veći od 1023 |
8443 |
Administrator GUI, RTMT, DB pristup preko SOAP-a |
|
Mapa sajta |
TCP |
Klijent |
UCCX |
Veći od 1023 |
8444 |
Cisco Unified Intelligence Center veb interfejs |
|
Mapa sajta |
TCP |
Brovser i REST klijenti |
UCCX |
Veći od 1023 |
8445 |
Sigurna luka za Finesse |
|
Mapa sajta |
TCP |
Klijent |
UCCX |
Veći od 1023 |
8447 |
HTTPS - Online pomoć Objedinjenog obaveštajnog centra |
|
Mapa sajta |
TCP |
Klijent |
UCCX |
Veći od 1023 |
8553 |
Single sign-on (SSO) komponente pristupaju ovom interfejsu da znaju operativni status Cisco IdS-a. |
|
Pretraga |
TCP |
Klijent |
UCCX |
Veći od 1023 |
9080 |
Klijenti koji pokušavaju da pristupe HTTP okidačima ili dokumentima / upitima / gramatikama / živim podacima. |
|
Mapa sajta |
TCP |
Klijent |
UCCX |
Veći od 1023 |
9443 |
Secure port koji se koristi za odgovor na klijente koji pokušavaju da pristupe HTTPS okidačima |
|
TCP |
TCP |
Klijent |
UCCX |
Veći od 1023 |
12014 |
Ovo je port gde klijenti za izveštavanje o živim podacima mogu da se povežu sa utičnicom. IO server |
|
TCP |
TCP |
Klijent |
UCCX |
Veći od 1023 |
12015 |
Ovo je port gde klijenti za izveštavanje o živim podacima mogu da se povežu sa utičnicom. IO server |
|
CTI |
TCP |
Klijent |
UCCX |
Veći od 1023 |
12028 |
Nezavisni CTI klijent za CCKS |
|
RTP(Mediji) |
TCP |
Krajnja tačka |
UCCX |
Veći od 1023 |
Veći od 1023 |
Mediji port se otvara dinamički po potrebi |
|
RTP(Mediji) |
TCP |
Klijent |
Krajnja tačka |
Veći od 1023 |
Veći od 1023 |
Mediji port se otvara dinamički po potrebi |
Bezbednost klijenta
Obezbeđivanje Jabber-a i Vebek-a sa SIP OAuth-om
Jabber i Vebek klijenti se autentifikuju putem OAuth tokena umesto lokalno značajnog sertifikata (LSC), koji ne zahteva omogućavanje proki funkcije autoriteta za sertifikate (CAPF) (i za MRA). SIP OAuth koji radi sa ili bez mešovitog režima uveden je u Cisco Unified CM 12.5 (1) i kasnije, Jabber 12.5 i kasnije, i Autoput Ks12.5.
U Cisco Unified CM KSNUMKS i novijim verzijama, imamo novu opciju u Phone Securiti Profile koja omogućava enkripciju bez LSC / CAPF, koristeći jedan Transport Laier Securiti (TLS) + OAuth token u SIP REGISTER-u. Autoput-C čvorovi koriste API administrativnog KSML Veb servisa (AKSL) kako bi informisali Cisco Unified CM o SN / SAN-u u svom sertifikatu. Cisco Unified CM koristi ove informacije za potvrđivanje Ekp-C sertifikata prilikom uspostavljanja zajedničke TLS veze.
SIP OAuth omogućava šifrovanje medija i signalizacije bez sertifikata krajnje tačke (LSC).
Cisco Jabber koristi Ephemeral portove i sigurne portove KSNUMKS i KSNUMKS portova preko HTTPS veze sa TFTP serverom za preuzimanje konfiguracionih datoteka. Port 6970 je ne-sigurna luka za preuzimanje preko HTTP-a.
Više detalja o SIP OAuth konfiguraciji: SIP OAuth režim.
DNS zahtevi
Za namensku instancu Cisco obezbeđuje FKDN za uslugu u svakom regionu sa sledećim formatom <customer>.<region> wxc-di.webex.com na primer, xyz.amer.wxc-di.webex.com.
Vrednost "kupca" obezbeđuje administrator kao deo čarobnjaka za prvo podešavanje (FTSV). Za više informacija pogledajte Aktivacija namenske instance servisa.
DNS zapisi za ovaj FKDN moraju biti rešljivi sa internog DNS servera kupca kako bi podržali lokalne uređaje koji se povezuju sa namenskom instancom. Da bi se olakšalo rešavanje, korisnik treba da konfiguriše uslovni prosleđivač, za ovaj FKDN, na svom DNS serveru koji ukazuje na DNS uslugu Dedicated Instance. DNS usluga Dedicated Instance je regionalna i može se doći putem peeringa na Dedicated Instance, koristeći sledeće IP adrese kao što je navedeno u donjoj tabeli IP adresa DNS usluge Dedicated Instance.
|
Regija / DC | IP adresa DNS usluge namenske instance |
Primer uslovnog prosleđivanja |
|---|---|---|
|
AMER |
<customer>.amer.wxc-di.webex.com | |
|
OMILjENO |
69.168.17.100 |
|
|
OMILjENO |
69.168.17.228 |
|
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
|
OMILjENO |
178.215.138.100 |
|
|
AMS |
178.215.138.228 |
|
|
Evropska unija |
<customer>.eu.wxc-di.webex.com |
|
|
FRA |
178.215.131.100 |
|
|
AMS |
178.215.131.228 |
|
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
|
GREH |
103.232.71.100 |
|
|
OMILjENO |
103.232.71.228 |
|
|
AUS |
<customer>.aus.wxc-di.webex.com | |
|
MEL |
178.215.128.100 |
|
|
SID |
178.215.128.228 |
|
|
UK |
<customer>.uk.wxc-di.webex.com | |
|
OMILjENO |
178.215.135.100 |
|
|
MUŠKARAC |
178.215.135.228 |
|
|
KSA |
<customer>.sa.wxc-di.webex.com | |
|
OMILjENO |
178.215.140.100 | |
|
RHU |
178.215.140.228 | |
Opcija ping je onemogućena za gore pomenute IP adrese DNS servera iz bezbednosnih razloga.
Dok se ne uspostavi uslovno prosleđivanje, uređaji neće moći da se registruju na namensku instancu iz interne mreže korisnika preko peering veza. Uslovno prosleđivanje nije potrebno za registraciju putem mobilnog i daljinskog pristupa (MRA), jer će sve potrebne eksterne DNS zapise za olakšavanje MRA biti unapred obezbeđene od strane Cisco-a.
Kada koristite Vebek aplikaciju kao mekog klijenta za pozivanje na namenskoj instanci, profil UC menadžera treba konfigurisati u kontrolnom čvorištu za domen glasovne usluge (VSD) svakog regiona. Za više informacija pogledajte UC Manager profili u Cisco Vebek Control Hub-u. Vebek aplikacija će moći da automatski reši Edge-u kupca na autoputu bez ikakve intervencije krajnjeg korisnika.
Domen glasovne usluge će biti obezbeđen klijentu kao deo dokumenta o pristupu partneru nakon završetka aktivacije usluge.
Koristite lokalni ruter za DNS rezoluciju telefona
Za telefone koji nemaju pristup korporativnim DNS serverima, moguće je koristiti lokalni Cisco ruter za prosleđivanje DNS zahteva na DNS oblak Dedicated Instance. Ovo uklanja potrebu za primenom lokalnog DNS servera i pruža punu DNS podršku, uključujući keširanje.
Primer konfiguracije :
!
IP DNS server
IP imena-server <DI DNS Server IP DC1> <DI DNS Server IP DC2>
!
Upotreba DNS-a u ovom modelu primene je specifična za telefone i može se koristiti samo za rešavanje FKDN-a sa domenom od korisnika Dedicated Instance.
