Zahtevi mreže za namensku instancu

Webex Pozivanje namenske instance je deo Cisco Cloud Calling portfolija, koji napaja tehnologija saradnje Cisco Unified Communications Manager (Cisco Unified CM). Namenska instanca nudi glasovna, video, rešenja za razmenu poruka i mobilnost sa funkcijama i prednostima Cisco IP telefona, mobilnih uređaja i desktop klijenata koji se bezbedno povezuju sa namenskom instancom.

Ovaj članak je namenjen administratorima mreže, posebno administratorima zaštitnog zida i proxy bezbednosti koji žele da koriste namensku instancu unutar svoje organizacije.

Pregled bezbednosti: Bezbednost u slojevima

Namenska instanca koristi slojevit pristup za bezbednost. Slojevi obuhvataju:

  • Fizički pristup

  • Mreža

  • Krajnje tačke

  • UC aplikacije

Sledeći odeljci opisuju slojeve bezbednosti u raspoređivanju namenske instance.

Fizičko obezbeđenje

Važno je obezbediti fizičko obezbeđenje lokacijama Equinix Meet-Me room i objektima Cisco Dedicated Instance Data Center. Kada je fizičko obezbeđenje ugroženo, mogu se pokrenuti jednostavni napadi kao što je prekid usluge isključivanjem napajanja na prekidače klijenta. Uz fizički pristup, napadači bi mogli da dobiju pristup serverima, resetuju lozinke i dobiju pristup prekidačima. Fizički pristup takođe olakšava sofisticiranije napade kao što su napadi čoveka u sredini, zbog čega je drugi bezbednosni sloj, bezbednost mreže, kritičan.

Disk jedinice za samostalno šifrovanje koriste se u data centrima namenske instance koji hostuje UC aplikacije.

Za više informacija o opštim bezbednosnim praksama pogledajte dokumentaciju na sledećoj lokaciji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Bezbednost mreže

Partneri moraju da obezbede da svi mrežni elementi budu obezbeđeni u namenskoj infrastrukturi instance (koja se povezuje preko Equinix-a). Odgovornost partnera je da obezbedi sigurnost najboljih praksi kao što su:

  • Zaseban VLAN za glas i podatke

  • Omogući bezbednost porta koja ograničava broj MAC adresa koje su dozvoljene po luci, u odnosu na poplave CAM tabele

  • IP izvorna garda protiv lažnih IP adresa

  • Dinamička ARP inspekcija (DAI) ispituje protokol rešavanja adrese (ARP) i zahvalni ARP (GARP) za prekršaje (protiv ARP obmane)

  • 802. ograničava1x mrežni pristup autentifikaciji uređaja na dodeljenim VLAN-om (telefoni podržavaju 802.1x)

  • Konfiguracija kvaliteta usluge (QoS) za odgovarajuće obeležavanje glasovnih paketa

  • Konfiguracije portova zaštitnog zida za blokiranje bilo kog drugog saobraćaja

Bezbednost krajnjih tačaka

Cisco krajnje tačke podržavaju podrazumevane bezbednosne funkcije kao što su potpisani firmver, bezbedno pokretanje sistema (izabrani modeli), instalirani certifikat proizvođača (MIC) i potpisane datoteke konfiguracije, koje obezbeđuju određeni nivo bezbednosti za krajnje tačke.

Pored toga, partner ili klijent mogu da omoguće dodatnu bezbednost, kao što su:

  • Šifriraj usluge IP telefona (putem HTTPS-a) za usluge kao što je Extension Mobility

  • Izdavanje lokalno značajnih certifikata (LSC) iz proxy funkcije autoriteta za izdavanje certifikata (CAPF) ili javnog autoriteta za izdavanje certifikata (CA)

  • Šifriraj datoteke za konfiguraciju

  • Šifrovanje medija i signalizacije

  • Onemogući ove postavke ako se ne koriste: PC port, PC Voice VLAN Access, Gratuitous ARP, Web Access, Settings button, SSH, konzola

Primena bezbednosnih mehanizama u namenskoj instanci sprečava krađu identiteta telefona i Objedinjeni CM server, neovlašćeno menjanje podataka i neovlašćeno pozivanje / neovlašćeno menjanje protoka medija.

Posvećena instanca preko mreže:

  • Uspostavlja i održava potvrđene tokove komunikacije

  • Digitalno potpisuje datoteke pre nego što prenese datoteku na telefon

  • Šifruje tokove medija i poziva na signalizaciju između Cisco Objedinjenih IP telefona

Podrazumevano podešavanje bezbednosti

Bezbednost podrazumevano obezbeđuje sledeće funkcije automatske bezbednosti za Cisco Objedinjene IP telefone:

  • Potpisivanje datoteka za konfiguraciju telefona

  • Podrška za šifrovanje datoteke za konfiguraciju telefona

  • HTTPS sa Tomcatom i drugim Web uslugama (MIDlets)

Za objedinjeni CM Release 8.0 kasnije, ove bezbednosne funkcije su podrazumevano obezbeđene bez pokretanja klijenta liste pouzdanih certifikata (CTL).

Usluga verifikacije pouzdanosti

S obzirom na to da postoji veliki broj telefona u mreži i IP telefoni imaju ograničenu memoriju, Cisco Unified CM deluje kao udaljeno skladište poverenja preko Usluge provere poverenja (TVS) tako da skladište poverenja certifikata ne mora da se stavi na svaki telefon. Cisco IP telefoni se kontaktiraju sa TVS serverom radi provere jer ne mogu da provere potpis ili certifikat putem CTL ili ITL datoteka. Lakše je upravljati centralnom pouzdanom prodavnicom nego imati pouzdanu prodavnicu na svakom Cisco Objedinjenom IP telefonu.

TVS omogućava Cisco Objedinjenim IP telefonima da tokom HTTPS establišmenta potvrde identitet servera aplikacija, kao što su EM usluge, direktorijum i MIDlet.

Početna pouzdana lista

Datoteka Initial Trust List (ITL) se koristi za početnu bezbednost, tako da krajnje tačke mogu da veruju Cisco objedinjenom CM-u. ITL-u nisu potrebne nikakve bezbednosne funkcije da bi bio omogućen izričito. ITL datoteka se automatski kreira kada se klaster instalira. Privatni ključ objedinjenog CM Trivial File Transfer Protocol (TFTP) servera se koristi za potpisivanje ITL datoteke.

Kada je Cisco Unified CM klaster ili server u nesigurni režim, ITL datoteka se preuzima na svakom podržanom Cisco IP telefonu. Partner može da prikaže sadržaj ITL datoteke pomoću CLI komande, admin:show itl.

Cisco IP telefonima je potreban ITL fajl za izvršavanje sledećih zadataka:

  • Bezbedno komunicirajte sa CAPF-om, što je preduslov za podršku šifrovanju datoteke za konfiguraciju

  • Potvrda identiteta potpisa datoteke za konfiguraciju

  • Potvrdi verodostojnost servera aplikacija, kao što su EM usluge, direktorijum i MIDlet tokom HTTPS establišmenta pomoću TVS-a

Cisco CTL

Potvrda identiteta uređaja, datoteke i signalizacije oslanja se na kreiranje datoteke liste pouzdanih certifikata (CTL) koja se kreira kada partner ili klijent instalira i konfiguriše klijenta liste pouzdanih certifikata za Cisco.

CTL datoteka sadrži stavke za sledeće servere ili bezbednosne tokene:

  • Bezbednosni simbol administratora sistema (SAST)

  • Cisco CallManager i Cisco TFTP usluge koje rade na istom serveru

  • Proxy funkcija autoriteta za izdavanje certifikata (CAPF)

  • TFTP serveri

  • ASA zaštitni zid

CTL datoteka sadrži certifikat servera, javni ključ, serijski broj, potpis, ime izdavača, ime teme, funkciju servera, DNS ime i IP adresu za svaki server.

Bezbednost telefona sa CTL-om obezbeđuje sledeće funkcije:

  • Potvrda identiteta preuzetih TFTP datoteka (konfiguracija, lokalni standard, lista prstena i tako dalje) pomoću ključa za potpisivanje

  • Šifrovanje TFTP datoteka za konfiguraciju pomoću ključa za potpisivanje

  • Šifrovano pozivanje za IP telefone

  • Šifrovani audio poziv (mediji) za IP telefone

Bezbednost za Cisco IP telefone u rešenju Dedicated Instance

Namenska instanca obezbeđuje registraciju krajnje tačke i obradu poziva. Signalizaciju između Cisco Unified CM i krajnjih tačaka zasniva se na Secure Skinny Client Control Protocol (SCCP) ili Session Initiation Protocol (SIP) i može se šifrovati pomoću usluge Transport Layer Security (TLS). Medij od/do krajnjih tačaka zasnovan je na Protokolu transporta u realnom vremenu (RTP) i takođe se može šifrovati pomoću Secure RTP (SRTP).

Omogućavanje mešovitog režima na Objedinjenom CM-u omogućava šifrovanje signalizacije i medijskog saobraćaja sa i na krajnje tačke Cisco-a.

Bezbedne UC aplikacije

Omogućavanje mešovitog režima u usluzi Dedicated Instance

Mešoviti režim je podrazumevano omogućen u namenskoj instanci.

Omogućavanje mešovitog režima u namenskoj instanci omogućava šifrovanje signalizacije i medijskog saobraćaja sa krajnjih tačaka i na krajnje tačke programa Cisco.

U Cisco Unified CM izdanje 12.5(1), nova opcija za omogućavanje šifrovanja signalizacije i medija zasnovanih na SIP OAuth umesto mešovitog režima / CTL je dodata za Jabber i Webex klijente. Zbog toga se u Objedinjenom CM izdanju 12.5(1), SIP OAuth i SRTP mogu koristiti za omogućavanje šifrovanja za signalizaciju i medije za Jabber ili Webex klijente. Omogućavanje mešovitog režima i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje tačke u ovom trenutku. Postoji plan da se u budućem izdanju doda podrška SIP OAuthu na 7800/8800 krajnjim tačkama.

Bezbednost glasovnih poruka

Cisco Unity veza se povezuje sa Objedinjenim CM-om preko TLS porta. Kada režim bezbednosti uređaja nije bezbedan, Cisco Unity Connection se povezuje sa objedinjenim CM-om preko SCCP porta.

Da bi konfigurisali bezbednost za Objedinjene CM portove za razmenu glasovnih poruka i Cisco Unity uređaje koji rade pod SCCP ili Cisco Unity Connection uređajima koji rade pod SCCP- om, partner može da odabere bezbedni režim bezbednosti uređaja za port. Ako odaberete potvrđeni port govorne pošte, otvoriće se TLS veza koja potvrdi identitet uređaja pomoću međusobne razmene certifikata (svaki uređaj prihvata certifikat drugog uređaja). Ako odaberete šifrovani port govorne pošte, sistem prvo potvrdi identitet uređaja, a zatim šalje šifrovane tokove glasa između uređaja.

Za više informacija o portovima za razmenu poruka bezbednosnog glasa pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Obezbeđenje za SRST, Prtljažnike, mrežne prolaze, KOCKU/SBC

Cisco objedinjena mobilna telefonija udaljene lokacije (SRST) omogućena za preživljavanje obezbeđuje ograničene zadatke obrade poziva ako Cisco objedinjeni CM u namenskoj instanci ne može da dovrši poziv.

Bezbedni mrežni prolazi sa omogućenim SRST-om sadrže samopotpisani certifikat. Nakon što partner izvrši zadatke konfiguracije SRST-a u opciji "Objedinjena CM administracija", objedinjeni CM koristi TLS vezu za potvrdu identiteta kod usluge dobavljača certifikata u mrežnom prolazu sa omogućenim SRST-om. Objedinjeni CM zatim preuzima certifikat iz mrežnog prolaza sa omogućenim SRST-om i dodaje certifikat u objedinjenu CM bazu podataka.

Nakon što partner uspostavi početne vrednosti zavisnih uređaja u Objedinjenoj CM administraciji, TFTP server dodaje certifikat mrežnog prolaza omogućen za SRST u datoteku telefona cnf.xml i šalje datoteku na telefon. Bezbedni telefon zatim koristi TLS vezu za interakciju sa mrežnim prolazom sa omogućenim SRST-om.

Preporučuje se da imate sigurne prtljažnike za poziv koji potiče od Cisco Unified CM do mrežnog prolaza za odlazne PSTN pozive ili prelazak preko Cisco objedinjenog graničnog elementa (CUBE).

SIP prtljažnici mogu da podrže sigurne pozive kako za signalizaciju, tako i za medije; TLS obezbeđuje šifrovanje signalizacije, a SRTP obezbeđuje šifrovanje medija.

Obezbeđivanje komunikacija između usluge Cisco Unified CM i CUBE

Za bezbednu komunikaciju između Cisco Unified CM i CUBE, partneri/klijenti moraju da koriste samopotpisani certifikat ili CA potpisane certifikate.

Za samopotpisane certifikate:

  1. CUBE i Cisco Unified CM generišu samopotpisane sertifikate

  2. KOCKA izvozi sertifikat u Cisco Unified CM

  3. Cisco Unified CM izvozi sertifikat u CUBE

Za certifikate potpisane sa CA:

  1. Klijent generiše ključni par i šalje zahtev za potpisivanje certifikata (CSR) autoritetu za izdavanje certifikata (CA)

  2. CA ga potpisuje svojim privatnim ključem, stvarajući certifikat identiteta

  3. Klijent instalira listu pouzdanih CA vrhovnih i posredničkih certifikata i certifikat identiteta

Bezbednost za udaljene krajnje tačke

Pomoću krajnjih tačaka mobilnog i daljinskog pristupa (MRA) signalizacije i medija uvek se šifruju između MRA krajnjih tačaka i čvorova Expressway. Ako se protokol interaktivnog uspostavljanja veze (ICE) koristi za MRA krajnje tačke, potrebno je signalizaciju i šifrovanje medija mrA krajnjih tačaka. Međutim, šifrovanje signalizacije i medija između Expressway-C i internih Objedinjenih CM servera, unutrašnjih krajnjih tačaka ili drugih internih uređaja, zahteva mešoviti režim ili SIP OAuth.

Cisco Expressway obezbeđuje bezbedan zaštitni zid i podršku na liniji za objedinjene CM registracije. Objedinjeni CM obezbeđuje kontrolu poziva i za mobilne i za lokalne krajnje tačke. Signalizacijom se prelazi Expressway rešenje između udaljene krajnje tačke i objedinjenog CM-a. Mediji prelaze preko rešenja Ekspresveja i prenose se direktno između krajnjih tačaka. Svi mediji su šifrovani između Expressway-C i mobilne krajnje tačke.

Svako MRA rešenje zahteva Expressway i Unified CM, sa mekim klijentima kompatibilnim sa MRA i/ili fiksnim krajnjim tačkama. Rešenje opcionalno može da sadrži uslugu za hitnem porukama i uslugu prisustva i vezu jedinstva.

Sažetak protokola

Sledeća tabela prikazuje protokole i pridružene usluge koje se koriste u objedinjenom CM rešenju.

Tabela 1. Protokoli i prateće usluge

Protokol

Bezbednost

Usluga

SIP

TLS

Uspostavljanje sesije: Registrujte se, pozovi itd.

HTTPS

TLS

Prijavljivanje, Obezbeđivanje/Konfiguracija, Direktorijum, Vizuelna govorna pošta

Mediji

SRTP

Media: Audio, video zapisi, deljenje sadržaja

XMPP

TLS

Razmena trenutnih poruka, prisustvo, federacija

Više informacija o MRA konfiguraciji potražite u članku: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opcije konfiguracije

Namenska instanca obezbeđuje partneru fleksibilnost da prilagodi usluge krajnjim korisnicima putem potpune kontrole konfiguracija drugog dana. Kao rezultat toga, Partner je odgovoran isključivo za odgovarajuću konfiguraciju usluge Namenske instance za okruženje krajnjeg korisnika. To uključuje, ali ne ograničavajući se na:

  • Izbor bezbednih/nebezbednih poziva, bezbednih/neobezbeđenih protokola kao što su SIP/sSIP, http/https itd i razumevanje bilo kakvih povezanih rizika.

  • Za sve MAC adrese koje nisu konfigurisane kao secure-SIP u namenskoj instanci, napadač može da pošalje poruku SIP Registrujući se koristeći tu MAC adresu i da bude u mogućnosti da uputi SIP pozive, što rezultira prevarom sa putarinom. Perkvizit je da napadač može da registruje svoj SIP uređaj/softver u Namensku instancu bez ovlašćenja ako zna MAC adresu uređaja registrovanog u namenskoj instanci.

  • Smernice za pozive Expressway-E, pravila transformacije i pretrage treba da se konfigurišu da bi se sprečile prevare sa putarinom. Za više informacija o sprečavanju prevare sa putarinom pomoću Expressways-a pogledajte Security for Expressway C i Expressway-E deo saradnje SRND.

  • Konfiguracija plana biranja kako bi se uverila da korisnici mogu da biraju samo odredišta koja su dozvoljena, npr. da zabranjuju interno/međunarodno biranje, pozivi u hitnim slučajevima se pravilno usmeravaju i sl. Za više informacija o primeni ograničenja pomoću plana biranja pogledajte odeljak Plan biranja usluge Collaboration SRND.

Zahtevi sertifikata za bezbedne veze u namenskoj instanci

Na namenskoj instanci, Cisco će obezbediti domen i potpisati sve certifikate za UC aplikacije koristeći javni autoritet za izdavanje certifikata (CA).

Namenska instanca – brojevi portova i protokoli

Sledeće tabele opisuju portove i protokole koji su podržani u namenskoj instanci. Portovi koji se koriste za datog kupca zavise od primene i rešenja kupca. Protokoli zavise od željenih opcija kupca (SCCP vs SIP), postojećih lokalnih uređaja i nivoa bezbednosti kako bi se utvrdili koji portovi će se koristiti u svakoj primeni.

Namenska instanca ne dozvoljava prevod mrežne adrese (NAT) između krajnjih tačaka i objedinjenog CM-a jer neke od funkcija toka poziva neće funkcionisati, na primer funkcija tokom poziva.

Namenska instanca – Portovi kupaca

Portovi dostupni za kupce - između "Kupac u prostorijama" i "Namenska instanca" prikazani su u portovima namenskih instanci kupca tabele1 . Svi dole navedeni portovi su za promet klijenata koji prelazi preko vršnjačkih veza.

SNMP port je podrazumevano otvoren samo za Cisco Emergency Responder da bi podržao svoju funkcionalnost. S obzirom na to da ne podržavamo partnere ili kupce koji nadgledaju UC aplikacije koje su raspoređene u oblaku Dedicated Instance, ne dozvoljavamo otvaranje SNMP porta za bilo koje druge UC aplikacije.

Portovi u opsegu 5063 do 5080 su rezervisani od strane Cisco za druge integracije u oblaku, partner ili administratori kupca se preporučuje da ne koriste ove portove u svojim konfiguracijama.

Tabela 2. Portovi kupca namenske instance

Protokol

TCP/UDP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

SSH

TCP

Klijent

UC aplikacije

Nije dozvoljeno za Cisco Expressway aplikacije.

Veće od 1023

22

Administracija

основни

UDP

Krajnja tačka

Unified CM

Veće od 1023

69

Zastarela podrška za krajnju tačku

LDAP

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

389

Sinhronizacija direktorijuma sa LDAP klijentima

HTTPS

TCP

Pregledača

UC aplikacije

Veće od 1023

443

Web pristup za brigu o sebi i administrativne interfejse

Izlazna pošta (BEZBEDNA)

TCP

UC aplikacija

CUCxn

Veće od 1023

587

Koristi se za pisanje i slanje bezbednih poruka svim imenovanim primaocima

LDAP (BEZBEDNO)

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

636

Sinhronizacija direktorijuma sa LDAP klijentima

H323

TCP

Mrežni prolaz

Unified CM

Veće od 1023

1720

Pozivanje signalizacije

H323

TCP

Unified CM

Unified CM

Veće od 1023

1720

Pozivanje signalizacije

SCCP

TCP

Krajnja tačka

Objedinjeni CM, CUCxn

Veće od 1023

2000

Pozivanje signalizacije

SCCP

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

2000

Pozivanje signalizacije

међутим

UDP

Mrežni prolaz

Mrežni prolaz

Veće od 1023

2427

Pozivanje signalizacije

ИНЖЕЊЕР MGCP

TCP

Mrežni prolaz

Unified CM

Veće od 1023

2428

Pozivanje signalizacije

SCCP (BEZBEDNO)

TCP

Krajnja tačka

Objedinjeni CM, CUCxn

Veće od 1023

2443

Pozivanje signalizacije

SCCP (BEZBEDNO)

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

2443

Pozivanje signalizacije

Verifikacija poverenja

TCP

Krajnja tačka

Unified CM

Veće od 1023

2445

Pružanje usluge provere pouzdanosti krajnjim tačkama

CTI

TCP

Krajnja tačka

Unified CM

Veće od 1023

2748

Veza između CTI aplikacija (JTAPI/TSP) i CTIManagera

Bezbedni CTI

TCP

Krajnja tačka

Unified CM

Veće od 1023

2749

Bezbedna veza između CTI aplikacija (JTAPI/TSP) i CTIManagera

LDAP globalni katalog

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

3268

Sinhronizacija direktorijuma sa LDAP klijentima

LDAP globalni katalog

TCP

UC aplikacije

Spoljni direktorijum

Veće od 1023

3269

Sinhronizacija direktorijuma sa LDAP klijentima

CAPF usluga

TCP

Krajnja tačka

Unified CM

Veće od 1023

3804

Port za slušanje proxy funkcije autoriteta za izdavanje lokalno značajnih certifikata (LSC) IP telefonima

SIP

TCP

Krajnja tačka

Objedinjeni CM, CUCxn

Veće od 1023

5060

Pozivanje signalizacije

SIP

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

5060

Pozivanje signalizacije

SIP (BEZBEDNO)

TCP

Krajnja tačka

Unified CM

Veće od 1023

5061

Pozivanje signalizacije

SIP (BEZBEDNO)

TCP

Unified CM

Objedinjeni CM, mrežni prolaz

Veće od 1023

5061

Pozivanje signalizacije

SIP (OAUTH)

TCP

Krajnja tačka

Unified CM

Veće od 1023

5090

Pozivanje signalizacije

XMPP

TCP

Jabber klijent

Cisco IM&P

Veće od 1023

5222

Neposredna razmena poruka i prisustvo

HTTP

TCP

Krajnja tačka

Unified CM

Veće od 1023

6970

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnja tačka

Unified CM

Veće od 1023

6971

Preuzimanje konfiguracije i slika na krajnje tačke

HTTPS

TCP

Krajnja tačka

Unified CM

Veće od 1023

6972

Preuzimanje konfiguracije i slika na krajnje tačke

HTTP

TCP

Jabber klijent

CUCxn

Veće od 1023

7080

Obaveštenja govorne pošte

HTTPS

TCP

Jabber klijent

CUCxn

Veće od 1023

7443

Bezbedna obaveštenja govorne pošte

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7501

Koristi ga Usluga pronalaženja među naznakama (ILS) za potvrdu identiteta zasnovanu na certifikatu

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7502

Koristi ilS za potvrdu identiteta zasnovanu na lozinki

IMAP

TCP

Jabber klijent

CUCxn

Veće od 1023

7993

IMAP preko TLS-a

HTTP

TCP

Krajnja tačka

Unified CM

Veće od 1023

8080

URI direktorijuma za zastarelu podršku krajnje tačke

HTTPS

TCP

Browser, Endpoint

UC aplikacije

Veće od 1023

8443

Web pristup za brigu o sebi i administrativne interfejse, UDS

HTTPS

TCP

Telefon

Unified CM

Veće od 1023

9443

Potvrđena pretraga kontakata

HTTP-ovi

TCP

Krajnja tačka

Unified CM

Veće od 1023

9444

Funkcija upravljanja slušalicama

Bezbedan RTP/SRTP

Udp

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

Bezbedan RTP/SRTP

Udp

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

комшија

TCP

Klijent

CUCxn

Veće od 1023

20532

Nazad i vrati paket aplikacija u prethodno stanje

ICMP

ICMP

Krajnja tačka

UC aplikacije

n. p.

n. p.

Ping

ICMP

ICMP

UC aplikacije

Krajnja tačka

n. p.

n. p.

Ping
DNS UDP i TCP

DNS prosleđivanje

DNS serveri za namensku instancu

Veće od 1023

 53

Preliminarni DNS prosleđivanja kupca namenskim DNS serverima instance. Više informacija potražite u DNS zahtevima .

* Određeni posebni slučajevi mogu koristiti veći opseg.

Namenska instanca – OTT portovi

Kupci i partneri za podešavanje mobilnog i udaljenog pristupa (MRA) mogu da koriste sledeći port:

Sto 3. Port za OTT

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

BEZBEDAN RTP/RTCP

Udp

укључујући

Klijent

Veće od 1023

36000-59999

Bezbedni mediji za MRA i B2B pozive

Inter-op SIP prenosnik između istovremenog i namenske instance (samo za prenosnik zasnovan na registraciji)

Sledeća lista portova mora da bude dozvoljena na zaštitnom zidu kupca da bi SIP magistrala zasnovana na registraciji povezala između multitasking i namenske instance.

Sto 4. Port za prenosnike zasnovane na registraciji

Protokol

TCP/UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

RTP / Rtcp

UDP

Webex Calling obavljanje više zadataka istovremeno

Klijent

Veće od 1023

8000-48198

Mediji iz usluge Webex Calling obavljanje više zadataka istovremeno

Namenska instanca – UCCX portovi

Sledeću listu portova mogu da koriste klijenti i partneri za konfigurisanje UCCX-a.

Sto 5. Cisco UCCX portovi

Protokol

TCP / UCP

Izvor

Odredište

Izvorni port

Odredišni port

Svrhu

SSH

TCP

Klijent

UCCX

Veće od 1023

22

SFTP i SSH

Informix

TCP

Klijent ili server

UCCX

Veće od 1023

1504

Port baze podataka za Contact Center Express

SIP

UDP i TCP

SIP GW ili MCRP server

UCCX

Veće od 1023

5065

Komunikacija sa udaljenim GW i MCRP čvorovima

XMPP

TCP

Klijent

UCCX

Veće od 1023

5223

Bezbedna XMPP veza između Finesse servera i prilagođenih aplikacija nezavisnih proizvođača

CVD

TCP

Klijent

UCCX

Veće od 1023

6999

Uređivač u CCX aplikacije

HTTPS

TCP

Klijent

UCCX

Veće od 1023

7443

Bezbedna BOSH veza između Finesse servera i agenta i supervizora za komunikaciju preko HTTPS-a

HTTP

TCP

Klijent

UCCX

Veće od 1023

8080

Klijenti za izveštavanje uživo povezuju se sa priključkom.IO serverom

HTTP

TCP

Klijent

UCCX

Veće od 1023

8081

Pregledač klijenta pokušava da pristupi veb interfejsu Cisco Unified Intelligence Center

HTTP

TCP

Klijent

UCCX

Veće od 1023

8443

Grafički interfejs administratora, RTMT, DB pristup preko SOAP-a

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8444

Cisco Unified Intelligence Center web interfejs

HTTPS

TCP

Klijenti pregledača i REST-a

UCCX

Veće od 1023

8445

Bezbedna luka za Finesse

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8447

HTTPS - Pomoć objedinjene obaveštajne službe na mreži

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8553

Komponente za jednokratnu prijavu (SSO) pristupe ovom interfejsu da bi znale status rada Cisco IdS.

HTTP

TCP

Klijent

UCCX

Veće od 1023

9080

Klijenti koji pokušavaju da pristupe HTTP okidačima ili dokumentima / odzivima / gramatici / podacima uživo.

HTTPS

TCP

Klijent

UCCX

Veće od 1023

9443

Bezbedan port koji se koristi za odgovaranje klijentima koji pokušavaju da pristupe HTTPS okidačima

TCP

TCP

Klijent

UCCX

Veće od 1023

12014

Ovo je port na kome klijenti za izveštavanje uživo mogu da se povežu sa priključkom.IO serverom

TCP

TCP

Klijent

UCCX

Veće od 1023

12015

Ovo je port na kome klijenti za izveštavanje uživo mogu da se povežu sa priključkom.IO serverom

CTI

TCP

Klijent

UCCX

Veće od 1023

12028

CTI klijent treće strane za CCX

RTP(Mediji)

TCP

Krajnja tačka

UCCX

Veće od 1023

Veće od 1023

Port za medije se po potrebi otvara dinamički

RTP(Mediji)

TCP

Klijent

Krajnja tačka

Veće od 1023

Veće od 1023

Port za medije se po potrebi otvara dinamički

Bezbednost klijenta

Obezbeđivanje Jabber-a i Webex-a sa SIP OAuth-om

Klijenti za jabber i Webex su potvrđeni putem OAuth tokena umesto lokalno značajnog certifikata (LSC), koji ne zahteva omogućavanje proxy funkcije autoriteta za izdavanje certifikata (CAPF). SIP OAuth koji radi sa ili bez mešovitog režima uveden je u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

U Cisco Unified CM 12.5 imamo novu opciju u Profilu bezbednosti telefona koja omogućava šifrovanje bez LSC/CAPF, koristeći single Transport Layer Security (TLS) + OAuth token u SIP REGISTER-u. Expressway-C čvorovi koriste API administrativne XML Web usluge (AXL) da bi obavestili Cisco Unified CM o SN/SAN u svom certifikatu. Cisco Unified CM koristi ove informacije za proveru valjanosti Exp-C certifikata prilikom uspostavljanja međusobne TLS veze.

SIP OAuth omogućava šifrovanje medija i signalizacije bez certifikata krajnje tačke (LSC).

Cisco Jabber koristi Efemeralne portove i bezbedne portove 6971 i 6972 portove putem HTTPS veze sa TFTP serverom za preuzimanje konekcionih datoteka. Port 6970 je nesiguran port za preuzimanje preko HTTP-a.

Više detalja o SIP OAuth konfiguraciji: SIP OAuth režim.

DNS zahtevi

Za namensku instancu, Cisco obezbeđuje FQDN za uslugu u svakom regionu sa sledećim formatom ..wxc-di.webex.com , na primer, xyz.amer.wxc-di.webex.com.

Vrednost "kupac" obezbeđuje administrator kao deo čarobnjaka za instalaciju prvog puta (FTSW). Za više informacija pogledajte aktivaciju usluge namenske instance.

DNS zapisi za ovaj FQDN moraju biti rešavani sa internog DNS servera klijenta da bi se podržali uređaji koji se povezuju sa namenskom instancom. Da bi olakšao rešavanje, klijent mora da konfiguriše uslovni prosleđivanje za ovaj FQDN na svom DNS serveru koji pokazuje na DNS uslugu namenske instance. Usluga Dedicated Instance DNS usluge je regionalna i može se stići putem pejdžinga do Dedicated Instance, koristeći sledeće IP adrese kao što je napomenuto u donjoj tabeli Dedicated Instance IP adresa DNS usluge.

Sto 6. IP adresa namenske instance DNS usluge

Region/DC

IP adresa namenske instance DNS usluge

Primer uslovnog prosleđivanja

AMER

 <customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

AMS

178.215.138.228

Evropska unija

<customer>.eu.wxc-di.webex.com

zemlje trougla

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Greh

103.232.71.100

пејџер

103.232.71.228

AUS

 <customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Sid

178.215.128.228

UK

 <customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

čovek

178.215.135.228

Opcija pinga je onemogućena za gore pomenute IP adrese DNS servera iz bezbednosnih razloga.

Dok uslovno prosleđivanje ne bude postavljeno, uređaji neće moći da se registruju u namensku instancu sa interne mreže klijenata putem peering linkova. Uslovno prosleđivanje nije neophodno za registraciju putem mobilnog i daljinskog pristupa (MRA), jer će sve potrebne spoljne DNS zapise za olakšavanje MRA unapred obezbediti Cisco.

Kada koristite Webex aplikaciju kao mekog klijenta za pozivanje u namenskoj instanci, UC Manager profil mora biti konfigurisan u kontrolnom čvorištu za domen glasovne usluge (VSD) svakog regiona. Za više informacija pogledajte profile UC Managera u Cisco Webex kontrolnom čvorištu. Webex aplikacija će moći automatski da reši Expressway Edge kupca bez intervencije krajnjeg korisnika.

Domen glasovne usluge će biti dostavljen kupcu kao deo dokumenta o pristupu partneru kada se aktivacija usluge dovrši.

Koristi lokalni ruter za rezoluciju DNS telefona

Za telefone koji nemaju pristup DNS serverima preduzeća moguće je koristiti lokalni Cisco ruter za prosleđivanje DNS zahteva namenskoj instanci DNS oblaka. Ovo uklanja potrebu za primenom lokalnog DNS servera i pruža punu DNS podršku, uključujući keširanje.

Primer konfiguracije :

!

IP DNS server

ip-server imena

!

Upotreba DNS-a u ovom modelu primene je specifična za telefone i može se koristiti samo za rešavanje FQDN-ova sa domenom iz namenske instance kupaca.

Rezolucija DNS-a telefona