Nätverkskrav för dedikerad instans

Webex Calling Dedicated Instance ingår i Cisco Cloud Calling-portföljen som drivs av samarbetstekniken Cisco Unified Communications Manager (Cisco Unified CM). Dedikerad instans erbjuder röst-, video-, meddelande- och rörlighetslösningar med funktionerna och fördelarna med Cisco IP-telefoner, mobila enheter och skrivbordsklienter som ansluter säkert till den dedikerade instansen.

Den här artikeln riktar sig till nätverksadministratörer, i synnerhet till brandväggs- och proxysäkerhetsadministratörer som vill använda dedikerade instanser inom sin organisation. Det här dokumentet fokuserar främst på nätverkskrav och säkerhet för dedikerad instans-lösning, inklusive en övergripande metod för funktioner som ger säker fysisk åtkomst, ett säkert nätverk, säkra slutpunkter och säkra Cisco UC-program.

Certifikatkrav för säkra anslutningar i dedikerad instans

För Webex Calling dedikerad instans tillhandahåller Cisco domänen och signerar alla certifikat för UC-programmen med hjälp av en offentlig Certifikatutfärdare (CA).

Dedikerad instans – portnummer och protokoll

Följande tabell beskriver portar och protokoll som stöds i Dedikerad instans. Portar som används för en viss kund beror på kundens distribution och lösning. Protokollen beror på kundens inställningar (SCCP vs SIP), befintliga lokala enheter och vilken säkerhetsnivå som ska fastställa vilka portar som ska användas för varje distribution.

Dedikerad instans – kundportar

Portarna som är tillgängliga för kunder – mellan den lokala kundinstansen och den dedikerade instansen visas i Tabell 1 Dedikerade kundportar för instans. Alla portar som listas nedan gäller för kundtrafik som går genom peering-länkarna.


SNMP-porten har endast stöd för CER-funktioner och inte för andra tredjepartsövervakningsverktyg.

Tabell 1. Dedikerade instanskundportar

Protocol

TCP/UCP

Source

Destination

Källport

Destinationsport

Syfte

SSH

TCP

klient

UC-program

Större än 1 023

22

Administrering

LDAP

TCP

UC-program

Extern katalog

Större än 1 023

389

Katalogsynkronisering med kundens LDAP

HTTPS

TCP

Webbläsare

UC-program

Större än 1 023

443

Webbåtkomst för självhjälp och administrativa gränssnitt

LDAP (SÄKERT)

TCP

UC-program

Extern katalog

Större än 1 023

636

Katalogsynkronisering med kundens LDAP

SCCP

TCP

Slutpunkt

Unified CM och CUCxn

Större än 1 023

2000

Samtalssignalering

SCCP

TCP

Unified CM

Unified CM, Gateway

Större än 1 023

2000

Samtalssignalering

SCCP (SÄKER)

TCP

Slutpunkt

Unified CM och CUCxn

Större än 1 023

2443

Samtalssignalering

SCCP (SÄKER)

TCP

Unified CM

Unified CM, Gateway

Större än 1 023

2443

Samtalssignalering

Verifiering av tillit

TCP

Slutpunkt

Unified CM

Större än 1 023

2445

Tillhandahålla tillit för verifieringstjänst för slutpunkter

CTI

TCP

Slutpunkt

Unified CM

Större än 1 023

2748

Anslutning mellan CTI-program (JTAPI/TSP) och CTIManager

Säker CTI

TCP

Slutpunkt

Unified CM

Större än 1 023

2749

Säker anslutning mellan CTI-program (JTAPI/TSP) och CTIManager

LDAP Global katalog

TCP

UC-program

Extern katalog

Större än 1 023

3268

Katalogsynkronisering med kundens LDAP

LDAP Global katalog

TCP

UC-program

Extern katalog

Större än 1 023

3269

Katalogsynkronisering med kundens LDAP

CAPF-tjänst

TCP

Slutpunkt

Unified CM

Större än 1 023

3804

Capf-lyssningsport för certifikatutfärdarens proxyfunktion (CAPF) för att ge ut lokalt viktiga certifikat (LSC) till IP-telefoner

SIP

TCP

Slutpunkt

Unified CM och CUCxn

Större än 1 023

5060

Samtalssignalering

SIP

TCP

Unified CM

Unified CM, Gateway

Större än 1 023

5060

Samtalssignalering

SIP (SÄKERT)

TCP

Slutpunkt

Unified CM

Större än 1 023

5061

Samtalssignalering

SIP (SÄKERT)

TCP

Unified CM

Unified CM, Gateway

Större än 1 023

5061

Samtalssignalering

SIP (OAUTH)

TCP

Slutpunkt

Unified CM

Större än 1 023

5090

Samtalssignalering

XMPP

TCP

Jabber-klient

Cisco IM&P

Större än 1 023

5222

Snabbmeddelanden och närvaro

HTTP-adressen

TCP

Slutpunkt

Unified CM

Större än 1 023

6970

Hämtar konfiguration och bilder till slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Större än 1 023

6971

Hämtar konfiguration och bilder till slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Större än 1 023

6972

Hämtar konfiguration och bilder till slutpunkter

HTTP-adressen

TCP

Jabber-klient

CUCxn

Större än 1 023

7080

Aviseringar via röstbrevlåda

HTTPS

TCP

Jabber-klient

CUCxn

Större än 1 023

7443

Säkra aviseringar via röstbrevlåda

HTTPS

TCP

Unified CM

Unified CM

Större än 1 023

7501

Används av söktjänsten inomcluster (ILS) för certifikatbaserad autentisering

HTTPS

TCP

Unified CM

Unified CM

Större än 1 023

7502

Används av ILS för lösenordsbaserad autentisering

IMAP

TCP

Jabber-klient

CUCxn

Större än 1 023

7993

IMAP över TLS

HTTPS

TCP

Webbläsare, slutpunkt

UC-program

Större än 1 023

8443

Webbåtkomst för självhjälp och administrativa gränssnitt, UDS

HTTPS

TCP

Prem

Unified CM

Större än 1 023

9443

Autentiserad kontaktsökning

Säker RTP/SRTP

UDP

Unified CM

Telefon

16384 till 32767 *

16384 till 32767 *

Media (ljud) – Musik on Hold, Annunciator, Software Conference Bridge (öppen baserad på samtalssignalering)

Säker RTP/SRTP

UDP

Telefon

Unified CM

16384 till 32767 *

16384 till 32767 *

Media (ljud) – Musik on Hold, Annunciator, Software Conference Bridge (öppen baserad på samtalssignalering)

ICMP

ICMP

Slutpunkt

UC-program

ej tillämpligt

ej tillämpligt

Ping

ICMP

ICMP

UC-program

Slutpunkt

ej tillämpligt

ej tillämpligt

Ping

* Vissa specialfall kan använda ett längre intervall.

Dedikerad instans – OTT-portar

Följande lista över portar kan användas av kunder och partners för mobil och Remote Access (MRA)-inställningar:

Tabell 2. Lista över portar för OTT

Protocol

TCP/UCP

Source

Destination

Källport

Destinationsport

Syfte

SÄKER SIP

TCP

Slutpunkt

Expressway E

Större än 1 023

5061

Säker SIP-signalering För MRA-registrering och -samtal

SÄKER SIP

TCP

Slutpunkt/server

Expressway E

Större än 1 023

5062

Säker SIP för B2B-samtal

SÄKER RTP/RTCP

UDP

Slutpunkt/server

Expressway E

Större än 1 023

36000-59999

Säker media för MRA- och B2B-samtal

HTTPS (SÄKER)

TLS

klient

Expressway E

Större än 1 023

8443

CUCM UDS och CUCxn REST för MRA-samtal

XMLS

TLS

klient

Expressway E

Större än 1 023

5222

Snabbmeddelanden och närvaro

TURN

UDP

ICE-klient

Expressway E

Större än 1 023

3478

ICE/STUN/TURN är inaktiverat

SÄKER RTP/RTCP

UPD

ICE-klient

Expressway E

Större än 1 023

24000-29999

AKTIVERA media för ICE-reserv

Dedikerad instans – UCCX-portar

Följande lista över portar kan användas av kunder och partners för konfigurering av UCCX.

Tabell 3. Cisco UCCX-portar

Protocol

TCP/UCP

Source

Destination

Källport

Destinationsport

Syfte

SSH

TCP

klient

UCCX

Större än 1 023

22

SFTP och SSH

Informix

TCP

Klient eller server

UCCX

Större än 1 023

1504

Unified CCX-databasport

SIP

UDP och TCP

SIP GW- eller MCRP-server

UCCX

Större än 1 023

5065

Kommunikation med fjärr-GW- och MCRP-noder

XMPP

TCP

klient

UCCX

Större än 1 023

5223

Säker XMPP-anslutning mellan Finesse-servern och anpassade tredjepartsprogram

CVD

TCP

klient

UCCX

Större än 1 023

6999

Redigerare till CCX-program

HTTPS

TCP

klient

UCCX

Större än 1 023

7443

Säker BOSH-anslutning mellan Finesse-servern och agenten och övervakare för kommunikation via HTTPS

HTTP-adressen

TCP

klient

UCCX

Större än 1 023

8080

Rapporteringsklienter i live-data ansluter till sockel. IO-server

HTTP-adressen

TCP

klient

UCCX

Större än 1 023

8081

Klientwebbläsare som försöker få åtkomst Cisco Unified-gränssnittet för Intelligence Center

HTTP-adressen

TCP

klient

UCCX

Större än 1 023

8443

Admin GUI, RTMT, DB-åtkomst via SOAP

HTTPS

TCP

klient

UCCX

Större än 1 023

8444

Cisco Unified Intelligence Center-webbgränssnittet

HTTPS

TCP

Webbläsar- och REST-klienter

UCCX

Större än 1 023

8445

Säker port för Finesse

HTTPS

TCP

klient

UCCX

Större än 1 023

8447

HTTPS – Onlinehjälp för Unified Intelligence Center

HTTPS

TCP

klient

UCCX

Större än 1 023

8553

Komponenter för enkel inloggning (SSO) kommer åt detta gränssnitt för att ta del av Cisco IdS operativsystem.

HTTP-adressen

TCP

klient

UCCX

Större än 1 023

9080

Klienter som försöker få åtkomst till HTTP-utlösare eller dokument/uppmaningar/grammatiker/livedata.

HTTPS

TCP

klient

UCCX

Större än 1 023

9443

Säker port som används för att svara på klienter som försöker få åtkomst till HTTPS-utlösare

TCP

TCP

klient

UCCX

Större än 1 023

12014

Detta är den port där datarapporteringsklienter för live kan ansluta till sockel. IO-server

TCP

TCP

klient

UCCX

Större än 1 023

12015

Detta är den port där datarapporteringsklienter för live kan ansluta till sockel. IO-server

CTI

TCP

klient

UCCX

Större än 1 023

12028

CTI-klient från tredje part till CCX

RTP (Media)

TCP

Slutpunkt

UCCX

Större än 1 023

Större än 1 023

Mediaporten öppnas dynamiskt efter behov

RTP (Media)

TCP

klient

Slutpunkt

Större än 1 023

Större än 1 023

Mediaporten öppnas dynamiskt efter behov

Klientsäkerhet

Säkra Jabber och Webex med SIP OAuth

Jabber- och Webex-klienter verifieras via en OAuth-token istället för ett lokalt betydande certifikat (LSC), som inte kräver certifikatutfärdarens proxyfunktion (CAPF) -aktiveras (även för MRA). SIP OAuth som arbetar med eller utan blandat läge infördes i Cisco Unified CM 12.5(1), Jabber 12.5 och Expressway X12.5.

I Cisco Unified CM 12.5 har vi ett nytt alternativ i telefonsäkerhetsprofilen som aktiverar kryptering utan LSC/CAPF med enkel Transport Layer Security (TLS) + OAuth-token i SIP REGISTER. Expressway-C-noder använder DEN administrativa XML-webbtjänstens API (AXL) för att informera Cisco Unified CM för SN/SAN i certifikatet. Cisco Unified CM använder denna information för att validera Exp-C-certifikatet när en ömsesidig TLS anslutningen.

SIP OAuth aktiverar medie- och signaleringskryptering utan ett slutpunktscertifikat (LSC).

Cisco Jabber använder Ephemeral-portar och säkra portar 6971- och 6972-portar via HTTPS-anslutning till TFTP-servern för att hämta konfigurationsfilerna. Port 6970 är en port som inte är säker för hämtning via HTTP.

Mer information om SIP OAuth-konfiguration: SIP OAuth-läge.

DNS-krav

För dedikerad instans tillhandahåller Cisco FQDN för tjänsten i varje region i följande format <customer><region>. wxc-di.webex.com t.ex. xyz.amer.wxc-di.webex.com.

Värdet "kund" tillhandahålls av administratören som en del av installationsguiden för första gången (FTSW). Mer information finns i Aktivering av dedikeradinstanstjänst.

DNS-poster för FQDN måste kunna åtgärdas från kundens interna DNS-server för att stödja lokala enheter som ansluter till den dedikerade instansen. För att underlätta upplösning måste kunden konfigurera en villkorad vidarebefordrare för detta FQDN på sin DNS-server och peka på DNS-tjänsten för dedikerad instans. DNS-tjänsten för dedikerad instans är regional och kan nås via peering till dedikerad instans med hjälp av följande IP-adresser som anges i tabellen Dedikerade instansens DNS-service-IP-adress.

Tabell 4. Dedikerade INSTANS DNS-tjänstens IP-adress

Region/DC

Dedikerade INSTANS DNS-tjänstens IP-adress

Exempel på villkorad vidarebefordran

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SYND

103.232.71.288

Innan den villkorade vidarebefordran är på plats kommer enheterna inte att kunna registrera sig till den dedikerade instansen från kundens interna nätverk via peering-länkarna. Villkorad vidarebefordran krävs inte för registrering via mobil och Remote Access (MRA) eftersom alla nödvändiga externa DNS-register för att underlätta MRA kommer att etableras av Cisco.

När du använder Webex-programmet som din samtalsklient för dedikerad instans måste en UC Manager-profil konfigureras i Control Hub för varje regions rösttjänstdomän (VSD). Mer information finns i UC Manager-profiler i Cisco Webex Control Hub. Webex-programmet kommer automatiskt att kunna lösa kundens problem med Expressway utan några åtgärder från slutanvändare.


Rösttjänstdomänen kommer att tillhandahållas kunden som en del av partneråtkomstdokumentet när tjänsteaktiveringen är slutförd.