Nätverkskrav för dedikerad instans

Webex Calling instans är en del av Cisco Cloud molnsamtalsportfölj, som drivs av samarbetstekniken Cisco Unified Communications Manager (Cisco Unified CM). Dedikerad instans erbjuder röst-, video-, meddelande- och mobilitetslösningar med funktionerna och fördelarna med Cisco IP-telefoner, mobila enheter och skrivbordsklienter som ansluter säkert till den dedikerade instansen.

Den här artikeln är avsedd för nätverksadministratörer, särskilt säkerhetsadministratörer för brandväggar och proxyserver, som vill använda dedikerad instans inom sin organisation.

Säkerhetsöversikt: Säkerhet i lager

Dedikerad instans använder en skiktad metod för säkerhet. Lagren inkluderar:

  • Fysisk åtkomst

  • Nätverk

  • Slutpunkter

  • UC-program

Följande avsnitt beskriver säkerhetsnivåerna i Dedikerad instans distributioner.

Fysisk säkerhet

Det är viktigt att tillhandahålla fysisk säkerhet för Equinix Meet-Me Room-platser och Cisco Dedikerad instans Datacenteranläggningar. När den fysiska säkerheten äventyras kan enkla attacker som störningar i tjänsten initieras genom att strömmen till en kunds växlar stängs av. Med fysisk åtkomst kan angripare få åtkomst till serverenheter, återställa lösenord och få åtkomst till växlar. Fysisk åtkomst möjliggör också mer sofistikerade attacker som man-in-the-middle-attacker, varför det andra säkerhetsskiktet, nätverkssäkerhet, är avgörande.

Självkrypterande enheter används i Dedikerad instans Datacenter som är värd för UC-program.

Mer information om allmänna säkerhetsrutiner finns i dokumentationen på följande plats: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Nätverkssäkerhet

Partners måste se till att alla nätverkselement är säkrade Dedikerad instans infrastruktur (som ansluts via Equinix). Det är partnerns ansvar att säkerställa bästa praxis för säkerhet som:

  • Separat VLAN för röst och data

  • Aktivera portsäkerhet som begränsar antalet tillåtna MAC-adresser per port mot översvämning av CAM-tabeller

  • IP-källa Skyddar mot falska IP-adresser

  • Dynamic ARP Inspection (DAI) undersöker adressupplösningsprotokollet (ARP) och gratis ARP (GARP) med avseende på överträdelser (mot ARP-spoofing)

  • 802.1x begränsar nätverksåtkomst för autentiseringsenheter på tilldelade VLAN (telefoner har stöd för 802.1x )

  • Konfiguration av tjänstekvalitet (QoS) för lämplig märkning av röstpaket

  • Brandväggen portar konfigurationer för att blockera all annan trafik

Säkerhet för slutpunkter

Cisco -slutpunkter har stöd för standardsäkerhetsfunktioner som signerad firmware, säker start (utvalda modeller), tillverkarinstallerat certifikat (MIC) och signerade konfigurationsfiler, som ger en viss säkerhetsnivå för slutpunkter.

Dessutom kan en partner eller kund aktivera ytterligare säkerhet, till exempel:

  • Kryptera IP-telefon (via HTTPS) för tjänster som Anknytningsmobilitet

  • Utfärda lokalt signifikanta certifikat (LSC) från CAPF ( proxyfunktion för certifikatsauktoritet Function) eller en offentlig certifikatutfärdare (CA)

  • Kryptera konfigurationsfiler

  • Kryptera media och signalering

  • Inaktivera dessa inställningar om de inte används: PC-port, PC-röst VLAN-åtkomst, Gratis ARP, webbåtkomst, knappen Inställningar, SSH, konsol

Implementera säkerhetsmekanismer i Dedikerad instans förhindrar identitetsstöld av telefoner och Unified CM-server, datamanipulation och manipulation av samtalssignaler/mediaströmmar.

Dedikerad instans över nätverket:

  • Etablerar och underhåller autentiserade kommunikationsströmmar

  • Signerar filer digitalt innan filerna överförs till telefonen

  • Krypterar medieströmmar och samtalssignalering mellan Cisco Unified IP-telefoner

Standardinställningar för säkerhet

Säkerhet som standard innehåller följande automatiska säkerhetsfunktioner för Cisco Unified IP-telefoner:

  • Signering av telefonens konfigurationsfiler

  • Stöd för kryptering av telefonens konfigurationsfil

  • HTTPS med Tomcat och andra webbtjänster (MIDlets)

För Unified CM version 8.0 senare tillhandahålls dessa säkerhetsfunktioner som standard utan att köra CTL-klienten (Certificate Trust List).

Tjänst för verifiering av förtroende

Eftersom det finns ett stort antal telefoner i ett nätverk och IP-telefoner har begränsat minne, fungerar Cisco Unified CM som en fjärransluten betrodd lagring via Trust Verification Service (TVS) så att ett certifikatarkiv inte behöver placeras på varje telefon. Cisco IP-telefoner kontaktar TVS-servern för verifiering eftersom de inte kan verifiera en signatur eller ett certifikat via CTL- eller ITL-filer. Det är lättare att hantera ett centralt betrodd arkiv än att ha det betrodda arkivet på alla Cisco Unified IP-telefon.

Med TVS kan Cisco Unified IP-telefoner autentisera programservrar, till exempel EM-tjänster, katalog och MIDlet, under HTTPS-etablering.

Initial betrodd lista

ITL-filen (Initial Trust List) används för den initiala säkerheten, så att slutpunkterna kan lita på Cisco Unified CM. ITL behöver inga säkerhetsfunktioner vara aktiverade uttryckligen. ITL-filen skapas automatiskt när klustret installeras. Den privata nyckeln till Unified CM Trivial File Transfer Protocol-servern (TFTP) används för att signera ITL-filen.

När Cisco Unified CM -klustret eller -servern är i osäkert läge hämtas ITL-filen till alla Cisco IP-telefon som stöds . En partner kan visa innehållet i en ITL-fil med CLI-kommando, admin:show itl.

Cisco IP-telefoner behöver ITL-filen för att utföra följande uppgifter:

  • Kommunicera säkert till CAPF, en förutsättning för att stödja kryptering av konfigurationsfil

  • Autentisera konfigurationsfil signatur

  • Autentisera programservrar, till exempel EM-tjänster, katalog och MIDlet under HTTPS-etablering med TVS

Cisco CTL

Enhets-, fil- och signaleringsautentisering förutsätter att en CTL-fil (Certificate Trust List) skapas, som skapas när partnern eller kunden installerar och konfigurerar Cisco Certificate Trust List-klienten.

CTL-fil innehåller poster för följande servrar eller säkerhetstoken:

  • Säkerhetstoken för systemadministratör (SAST)

  • Cisco CallManager och Cisco TFTP-tjänster som körs på samma server

  • Proxyfunktion för Certifikatsauktoritet (CAPF)

  • TFTP-server(ar)

  • ASA-brandvägg

CTL-fil innehåller ett servercertifikat, offentlig nyckel, serienummer, signatur, utfärdarnamn, ämnesnamn, serverfunktion, DNS-namn och IP-adress för varje server.

Telefonsäkerhet med CTL har följande funktioner:

  • Autentisering av TFTP-hämtade filer (konfiguration, språk, ringlista och så vidare) med en signeringsnyckel

  • Kryptering av TFTP-konfigurationsfiler med en signeringsnyckel

  • Krypterad samtalssignalering för IP-telefoner

  • Krypterat samtalsljud (media) för IP-telefoner

Säkerhet för Cisco IP-telefoner i Dedikerad instans

Dedikerad instans ger slutpunktsregistrering och samtalshantering. Signaleringen mellan Cisco Unified CM och slutpunkter baseras på SCCP (Secure Skinny Client Control Protocol ) eller Session Initiation Protocol (SIP) och kan krypteras med TLS ( Säkerhet för transportlager ). Media från/till slutpunkterna baseras på RTP (Real-Time Transport Protocol) och kan även krypteras med SRTP (Secure RTP).

Aktivera blandat läge på Unified CM aktiverar kryptering av signalering och medietrafik från och till Cisco slutpunkter.

Säkra UC-program

Aktivera blandat läge i Dedikerad instans

Blandat läge är aktiverat som standard i Dedikerad instans .

Aktivera blandat läge i Dedikerad instans möjliggör kryptering av signal- och medietrafik från och till Cisco slutpunkter.

I Cisco Unified CM version 12.5(1) lades ett nytt alternativ till för att aktivera kryptering av signalering och media baserat på SIP OAuth istället för blandat läge/CTL för Jabber- och Webex-klienter. I Unified CM version 12.5(1) kan SIP OAuth och SRTP därför användas för att aktivera kryptering för signalering och media för Jabber- eller Webex-klienter. Aktivering av blandat läge krävs för närvarande för Cisco IP-telefoner och andra Cisco -slutpunkter. Det finns en plan att lägga till stöd för SIP OAuth i 7800/8800-slutpunkter i en framtida version.

Säkerhet för röstmeddelanden

Cisco Unity Connection ansluter till Unified CM via TLS porten. När enhetens säkerhetsläge är osäkert ansluts Cisco Unity Connection till Unified CM via SCCP-porten.

För att konfigurera säkerhet för Unified CM -röstmeddelandeportar och Cisco Unity -enheter som kör SCCP eller Cisco Unity Connection -enheter som kör SCCP kan en partner välja ett säkert enhetssäkerhetsläge för porten. Om du väljer en autentiserad port för röstbrevlåda öppnas en TLS anslutning som autentiserar enheterna med hjälp av en ömsesidig certifikatutbyte (varje enhet accepterar certifikatet för den andra enheten). Om du väljer en krypterad port för röstbrevlåda autentiserar systemet först enheterna och skickar sedan krypterade röstströmmar mellan enheterna.

Mer information om säkerhet för röstmeddelandeportar finns på: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Säkerhet för SRST, Trunkar, Gateways, CUBE/SBC

En Cisco Unified Survivable Remote Site Telephony (SRST)-aktiverad gateway ger begränsade samtalsbehandlingsuppgifter om Cisco Unified CM på Dedikerad instans kan inte slutföra samtalet.

Säkra SRST-aktiverade gatewayar innehåller ett självsignerat certifikat. När en partner har utfört SRST-konfigurationsuppgifter i Unified CM-administration använder Unified CM en TLS -anslutning för att autentisera med certifikatleverantörstjänsten i den SRST-aktiverad gateway. Unified CM hämtar sedan certifikatet från den SRST-aktiverad gateway och lägger till certifikatet i Unified CM -databasen.

När partnern har återställt de beroende enheterna i Unified CM-administration lägger TFTP-servern till det SRST-aktiverad gateway i telefonens cnf.xml-fil och skickar filen till telefonen. En säker telefon använder sedan en TLS -anslutning för att interagera med den SRST-aktiverad gateway.

Vi rekommenderar att du har säkra trunkar för samtal som kommer från Cisco Unified CM till gatewayen för utgående PSTN-samtal eller som går via Cisco Unified-kantobjekt (CUBE).

SIP-trunkar kan stödja säkra samtal både för signalering och media; TLS tillhandahåller signalkryptering och SRTP tillhandahåller mediekryptering.

Säker kommunikation mellan Cisco Unified CM och CUBE

För säker kommunikation mellan Cisco Unified CM och CUBE måste partner/kunder använda antingen självsignerat certifikat eller CA-signerat certifikat.

För självsignerade certifikat:

  1. CUBE och Cisco Unified CM genererar självsignerade certifikat

  2. CUBE exporterar certifikat till Cisco Unified CM

  3. Cisco Unified CM exporterar certifikat till CUBE

För CA-signerade certifikat:

  1. Klienten genererar ett nyckelpar och skickar en begäran om certifikatsignering (CSR) till Certifikatsauktoritet (CA)

  2. CA signerar den med sin privata nyckel, vilket skapar ett identitetscertifikat

  3. Klienten installerar listan över betrodda CA-rot- och mellanhandscertifikat samt identitetscertifikatet

Säkerhet för Remote Endpoints

Med Mobile- och Remote Access -slutpunkter (MRA) krypteras alltid signaleringen och media mellan MRA-slutpunkterna och Expressway-noderna. Om ICE-protokollet (Interactive Connectivity Establishment) används för MRA-slutpunkter krävs signalering och mediekryptering av MRA-slutpunkterna. Men kryptering av signalering och media mellan Expressway-C och de interna Unified CM -servrarna, interna slutpunkterna eller andra interna enheter kräver blandat läge eller SIP OAuth.

Cisco Expressway tillhandahåller säker korsning av brandväggen och stöd vid linjesidan för Unified CM -registreringar. Unified CM tillhandahåller samtalskontroll för både mobila och lokala slutpunkter. Signalering går igenom Expressway-lösningen mellan fjärrslutpunkten och Unified CM. Media passerar Expressway-lösningen och vidarebefordras mellan slutpunkterna direkt. Alla media krypteras mellan Expressway-C och den mobila slutpunkten.

Alla MRA-lösningar kräver Expressway och Unified CM, med MRA-kompatibla mjukvaruklienter och/eller fasta slutpunkter. Lösningen kan eventuellt inkludera snabbmeddelande- och Presence-tjänst och Unity-anslutning.

Protokollsammanfattning

Följande tabell visar de protokoll och associerade tjänster som används i Unified CM lösningen.

Tabell 1. Protokoll och tillhörande tjänster

Protokoll

Säkerhet

Tjänst

SIP

TLS

Sessionsetablering: Registrera dig, bjud in osv.

HTTPS

TLS

Inloggning, etablering/konfiguration, katalog, visuell röstbrevlåda

Media

SRTP

Media: Ljud, video, innehållsdelning

XMPP

TLS

Snabbmeddelanden, närvaro, federation

Mer information om MRA-konfiguration finns i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurationsalternativ

Den Dedikerad instans ger Partner flexibilitet att anpassa tjänster för slutanvändare genom full kontroll över konfigurationer under dag två. Som ett resultat av detta är partnern ensamt ansvarig för korrekt konfiguration av Dedikerad instans tjänst för slutanvändarens miljö. Detta inkluderar, men inte begränsat till:

  • Välja säkra/osäkra samtal, säkra/osäkra protokoll som SIP/sSIP, http/https etc och förstå eventuella risker.

  • För alla MAC-adresser som inte är konfigurerade som säker-SIP-ingång Dedikerad instans , kan en angripare skicka ett SIP-registermeddelande med den MAC-adress och ringa SIP-samtal, vilket kan leda till avgiftsbelagd bedrägeri. Förutsättningen är att angriparen kan registrera sin SIP-enhet/programvara till Dedikerad instans utan behörighet om de känner till MAC-adress för en enhet som är registrerad i Dedikerad instans .

  • Expressway-E-samtalspolicyer, omvandlings- och sökregler bör konfigureras för att förhindra avgiftsbedrägeri. Mer information om hur du förhindrar avgiftsbelagd bedrägeri med Expressways finns i avsnittet Säkerhet för Expressway C och Expressway-E i Samarbete SRND .

  • Konfiguration av nummerplan för att säkerställa att användare endast kan ringa destinationer som är tillåtna, t.ex. förbjuda nationell/internationell uppringning, nödsamtal dirigeras korrekt etc. Mer information om hur begränsningar med nummerplan finns i Nummerplan avsnittet i SRND för samarbete.

Certifikatkrav för säkra anslutningar i dedikerad instans

För dedikerad instans tillhandahåller Cisco domänen och signerar alla certifikat för UC-programmen med hjälp av en offentlig Certifikatsauktoritet (CA).

Dedikerad instans – portnummer och protokoll

Följande tabeller beskriver de portar och protokoll som stöds i dedikerad instans. Portar som används för en given kund beror på kundens distribution och lösning. Protokoll beror på kundens preferenser (SCCP vs SIP), befintliga lokala enheter och vilken säkerhetsnivå som ska avgöra vilka portar som ska användas i varje distribution.

Dedikerad instans tillåter inte nätverksadressöversättning (NAT) mellan slutpunkter och Unified CM eftersom vissa av samtalsflödesfunktionerna inte fungerar, till exempel funktionen mitt i samtalet.

Dedikerad instans – kundportar

Portarna som är tillgängliga för kunder – mellan den lokala kunden och den dedikerade instansen visas i Tabell 1 Dedikerade kundportar för instanser . Alla portar som listas nedan är för kundtrafik som passerar peering-länkarna.

SNMP-porten stöds endast för CER-funktioner och inte för andra övervakningsverktyg från tredje part.

Portar i intervallet 5063 till 5080 är reserverade av Cisco för andra molnintegreringar, partner- eller kundadministratörer rekommenderas att inte använda dessa portar i sina konfigurationer.
Tabell 2. Dedikerad instans Kundportar

Protokoll

TCP/UDP

Source

Destination

Källport

Destinationsport

Syfte

SSH

TCP

klient

UC-program

Större än 1023

22

Administration

TFTP

UDP

Slutpunkt

Unified CM

Större än 1023

69

Stöd för äldre slutpunkter

LDAP

TCP

UC-program

Extern katalog

Större än 1023

389

Katalogsynkronisering till kund-LDAP

HTTPS

TCP

Webbläsare

UC-program

Större än 1023

443

Webbanslutning för egenvårds- och administrativa gränssnitt

Utgående e-post (SECURE)

TCP

UC-program

CUCxn

Större än 1023

587

Används för att skriva och skicka säkra meddelanden till utsedda mottagare

LDAP (SÄKER)

TCP

UC-program

Extern katalog

Större än 1023

636

Katalogsynkronisering till kund-LDAP

H323

TCP

Gateway

Unified CM

Större än 1023

1720

Samtalssignalering

H323

TCP

Unified CM

Unified CM

Större än 1023

1720

Samtalssignalering

SCCP

TCP

Slutpunkt

Unified CM, CUCxn

Större än 1023

2000

Samtalssignalering

SCCP

TCP

Unified CM

Unified CM, Gateway

Större än 1023

2000

Samtalssignalering

MGCP

UDP

Gateway

Gateway

Större än 1023

2427

Samtalssignalering

MGCP Blackhaul

TCP

Gateway

Unified CM

Större än 1023

2428

Samtalssignalering

SCCP (SÄKER)

TCP

Slutpunkt

Unified CM, CUCxn

Större än 1023

2443

Samtalssignalering

SCCP (SÄKER)

TCP

Unified CM

Unified CM, Gateway

Större än 1023

2443

Samtalssignalering

Verifiering av förtroende

TCP

Slutpunkt

Unified CM

Större än 1023

2445

Tillhandahålla tjänst för förtroendeverifiering till slutpunkter

CTI

TCP

Slutpunkt

Unified CM

Större än 1023

2748

Anslutning mellan CTI-program (JTAPI/TSP) och CTIManager

Säker CTI

TCP

Slutpunkt

Unified CM

Större än 1023

2749

Säker anslutning mellan CTI-program (JTAPI/TSP) och CTIManager

Global LDAP-katalog

TCP

UC-program

Extern katalog

Större än 1023

3268

Katalogsynkronisering till kund-LDAP

Global LDAP-katalog

TCP

UC-program

Extern katalog

Större än 1023

3269

Katalogsynkronisering till kund-LDAP

CAPF-tjänst

TCP

Slutpunkt

Unified CM

Större än 1023

3804

Lyssningsport för CAPF ( Certifikatsauktoritet Proxy Function) för utfärdande av LSC (Locally Significant Certificate) till IP-telefoner

SIP

TCP

Slutpunkt

Unified CM, CUCxn

Större än 1023

5060

Samtalssignalering

SIP

TCP

Unified CM

Unified CM, Gateway

Större än 1023

5060

Samtalssignalering

SIP (SÄKER)

TCP

Slutpunkt

Unified CM

Större än 1023

5061

Samtalssignalering

SIP (SÄKER)

TCP

Unified CM

Unified CM, Gateway

Större än 1023

5061

Samtalssignalering

SIP (OAUTH)

TCP

Slutpunkt

Unified CM

Större än 1023

5090

Samtalssignalering

XMPP

TCP

Jabber-klient

Cisco IM&P

Större än 1023

5222

Snabbmeddelanden och närvaro

HTTP

TCP

Slutpunkt

Unified CM

Större än 1023

6970

Hämta konfiguration och bilder till slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Större än 1023

6971

Hämta konfiguration och bilder till slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Större än 1023

6972

Hämta konfiguration och bilder till slutpunkter

HTTP

TCP

Jabber-klient

CUCxn

Större än 1023

7080

Röstbrevlådeaviseringar

HTTPS

TCP

Jabber-klient

CUCxn

Större än 1023

7443

Aviseringar om säker röstbrevlåda

HTTPS

TCP

Unified CM

Unified CM

Större än 1023

7501

Används av Intercluster Lookup Service (ILS) för certifikatbaserad autentisering

HTTPS

TCP

Unified CM

Unified CM

Större än 1023

7502

Används av ILS för lösenordsbaserad autentisering

IMAP

TCP

Jabber-klient

CUCxn

Större än 1023

7993

IMAP över TLS

HTTP

TCP

Slutpunkt

Unified CM

Större än 1023

8080

Katalog-URI för äldre slutpunktsstöd

HTTPS

TCP

Webbläsare, slutpunkt

UC-program

Större än 1023

8443

Webbankomst för egenvårds- och administrativa gränssnitt, UDS

HTTPS

TCP

Telefon

Unified CM

Större än 1023

9443

Autentiserad kontaktsökning

HTTPs

TCP

Slutpunkt

Unified CM

Större än 1023

9444

Funktion för headsethantering

Säker RTP/SRTP

UDP

Unified CM

Telefon

16384 till 32767 *

16384 till 32767 *

Media (ljud) – Parkerad musik, Annunciator, Software Conference Bridge (öppen baserat på samtalssignalering)

Säker RTP/SRTP

UDP

Telefon

Unified CM

16384 till 32767 *

16384 till 32767 *

Media (ljud) – Parkerad musik, Annunciator, Software Conference Bridge (öppen baserat på samtalssignalering)

KOBROR

TCP

klient

CUCxn

Större än 1023

20532

Programsvit för säkerhetskopiering och återställning

ICMP

ICMP

Slutpunkt

UC-program

ej tillämpligt

ej tillämpligt

Ping

ICMP

ICMP

UC-program

Slutpunkt

ej tillämpligt

ej tillämpligt

Ping

* Vissa specialfall kan ha ett större intervall.

Dedikerad instans – OTT-portar

Följande port kan användas av kunder och partners för konfiguration av Mobile och Remote Access (MRA):

Tabell 3. Port för OTT

Protokoll

TCP/UCP

Source

Destination

Källport

Destinationsport

Syfte

SÄKER RTP/RTCP

UDP

Expressway C

klient

Större än 1023

36 000-59 999

Säkra media för MRA- och B2B-samtal

Dedikerad instans – UCCX-portar

Följande lista över portar kan användas av kunder och partners för att konfigurera UCCX.

Tabell 4. Cisco UCCX-portar

Protokoll

TCP/UCP

Source

Destination

Källport

Destinationsport

Syfte

SSH

TCP

klient

UCCX

Större än 1023

22

SFTP och SSH

Informix

TCP

Klient eller server

UCCX

Större än 1023

1504

Unified CCX databasport

SIP

UDP och TCP

SIP GW- eller MCRP-server

UCCX

Större än 1023

5065

Kommunikation till fjärranslutna GW- och MCRP-noder

XMPP

TCP

klient

UCCX

Större än 1023

5223

 Säker XMPP-anslutning mellan Finesse-servern och anpassade tredjepartsprogram

CVD

TCP

klient

UCCX

Större än 1023

6999

Redigerare för CCX-program

HTTPS

TCP

klient

UCCX

Större än 1023

7443

Säker BOSH-anslutning mellan Finesse-servern och agent- och arbetsledarens skrivbord för kommunikation över HTTPS

HTTP

TCP

klient

UCCX

Större än 1023

8080

Klienter för live-datarapportering ansluter till socket.IO-servern

HTTP

TCP

klient

UCCX

Större än 1023

8081

Klientwebbläsaren försöker komma åt webbgränssnitt i Cisco Unified Intelligence Center

HTTP

TCP

klient

UCCX

Större än 1023

8443

Admin GUI, RTMT, DB åtkomst via SOAP

HTTPS

TCP

klient

UCCX

Större än 1023

8444

webbgränssnitt för Cisco Unified Intelligence Center

HTTPS

TCP

Webbläsare och REST-klienter

UCCX

Större än 1023

8445

Säker port för Finesse

HTTPS

TCP

klient

UCCX

Större än 1023

8447

HTTPS – onlinehjälp för Unified Intelligence Center

HTTPS

TCP

klient

UCCX

Större än 1023

8553

Komponenter med enkel inloggning (SSO) har åtkomst till det här gränssnittet för att få reda på driftsstatusen för Cisco IdS.

HTTP

TCP

klient

UCCX

Större än 1023

9080

Klienter som försöker komma åt HTTP-utlösare eller dokument/uppmaningar/grammatiker/live-data.

HTTPS

TCP

klient

UCCX

Större än 1023

9443

Säker port som används för att svara på klienter som försöker komma åt HTTPS-utlösare

TCP

TCP

klient

UCCX

Större än 1023

12014

Det här är porten där klienter för live-datarapportering kan ansluta till socket.IO-servern

TCP

TCP

klient

UCCX

Större än 1023

12015

Det här är porten där klienter för live-datarapportering kan ansluta till socket.IO-servern

CTI

TCP

klient

UCCX

Större än 1023

12028

CTI-klient från tredje part till CCX

RTP(media)

TCP

Slutpunkt

UCCX

Större än 1023

Större än 1023

Medieporten öppnas dynamiskt vid behov

RTP(media)

TCP

klient

Slutpunkt

Större än 1023

Större än 1023

Medieporten öppnas dynamiskt vid behov

Klientsäkerhet

Säkra Jabber och Webex med SIP OAuth

Jabber- och Webex-klienter autentiseras via en OAuth-token istället för ett LSC (locally significant certificate), som inte kräver proxyfunktion för certifikatsauktoritet -aktivering (Certifikat Authority Proxy Function) (även för MRA). SIP OAuth som fungerar med eller utan blandat läge introducerades i Cisco Unified CM 12.5(1), Jabber 12.5 och Expressway X12.5.

I Cisco Unified CM 12.5 har vi ett nytt alternativ i Phone Security Profile som möjliggör kryptering utan LSC/CAPF, med enstaka Säkerhet för transportlager (TLS) + OAuth-token i SIP REGISTER. Expressway-C-noder använder API :t för Administrative XML Web Service ( AXL ) för att informera Cisco Unified CM om SN/SAN i certifikatet. Cisco Unified CM använder denna information för att validera Exp-C-certifikatet när en ömsesidig TLS -anslutning upprättas.

SIP OAuth möjliggör medie- och signalkryptering utan slutpunktscertifikat (LSC).

Cisco Jabber använder tillfälliga portar och säkra portar 6971 och 6972 via HTTPS-anslutning till TFTP-servern för att hämta konfigurationsfiler. Port 6970 är en icke-säker port för hämtning via HTTP.

Mer information om SIP OAuth-konfiguration: SIP OAuth-läge .

DNS-krav

För dedikerade instanser tillhandahåller Cisco FQDN för tjänsten i varje region med följande format<customer> .<region> .wxc-di.webex.com till exempel xyz.amer.wxc-di.webex.com .

Värdet ”kund” tillhandahålls av administratören som en del av installationsguiden för första gången (FTSW). För mer information, se Aktivering av dedikerad instanstjänst .

DNS-poster för detta FQDN måste kunna lösas från kundens interna DNS-server för att stödja lokala enheter som ansluter till den dedikerade instansen. För att underlätta upplösningen måste kunden konfigurera en villkorlig vidarebefordran, för detta FQDN, på sin DNS-server som pekar på DNS-tjänsten för dedikerad instans. Den dedikerade DNS-tjänsten för dedikerad instans är regional och kan nås via peering till dedikerad instans med följande IP-adresser enligt tabellen nedan IP-adress för dedikerad instans DNS-tjänst .

Tabell 5. IP-adress för dedikerad instans DNS-tjänst

Region/DC

 IP-adress för dedikerad instans DNS-tjänst

Exempel på villkorlig vidarebefordran

AMER

 <customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

Europa, Mellanöstern och Afrika

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

Asien och Stillahavsområdet, Japan och Kina

<customer>.apjc.wxc-di.webex.com

SIN

103.232.71.100

TKY

103.232.71.228

AUS

 <customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228

Ping-alternativet är inaktiverat för de ovan nämnda IP-adresserna för DNS-server av säkerhetsskäl.

Förrän den villkorliga vidarebefordran har införts kan enheter inte registrera sig i den dedikerade instansen från kundens interna nätverk via peering-länkarna. Villkorlig vidarebefordran krävs inte för registrering via Mobile and Remote Access (MRA), eftersom alla externa DNS-poster som krävs för att underlätta MRA kommer att företableras av Cisco.

När du använder Webex-programmet som din uppringande mjukvaruklient på dedikerad instans måste en UC Manager-profil konfigureras i Control Hub för varje regions Voice Service Domain (VSD). För mer information, se UC Manager-profiler i Cisco Webex Control Hub . Webex-programmet kommer att kunna lösa kundens Expressway Edge automatiskt utan inblandning av slutanvändaren.

Rösttjänstdomän kommer att tillhandahållas kunden som en del av partneråtkomstdokumentet när tjänsteaktiveringen har slutförts.