- Start
- /
- Artikel
Nätverks- och säkerhetskrav för Dedikerad instans-lösning är det layererade tillvägagångssättet för funktioner och funktioner som ger säker fysisk åtkomst, nätverk, slutpunkter och Cisco UC-program. Den beskriver nätverkskraven och listar de adresser, portar och protokoll som används för att ansluta dina slutpunkter till tjänsterna.
Nätverkskrav för dedikerad instans
Webex Calling Dedicated Instance ingår i Cisco Cloud Calling-portföljen som drivs av Cisco Unified Communications Manager (Cisco Unified CM)-samarbetstekniken. Dedikerad instans erbjuder röst-, video-, meddelandelösningar och mobilitetslösningar med funktionerna och fördelarna med Cisco IP-telefoner, mobila enheter och skrivbordsklienter som ansluter säkert till den dedikerade instansen.
Den här artikeln är avsedd för nätverksadministratörer, särskilt brandvägg- och proxysäkerhetsadministratörer som vill använda dedikerad instans inom organisationen.
Säkerhetsöversikt: Säkerhet i lager
Dedikerad instans använder en lagad strategi för säkerhet. Skikten omfattar:
-
Fysisk åtkomst
-
Nätverk
-
Slutpunkter
-
UC-program
Följande avsnitt beskriver säkerhetslager i distributioner av dedikerad instans.
Fysisk säkerhet
Det är viktigt att tillhandahålla fysisk säkerhet för platser i Equinix Meet-Me Room och Cisco Dedicated Instance Data Center. När fysisk säkerhet äventyras kan enkla attacker som tjänsteavbrott genom att stänga av strömmen till en kunds växlar inledas. Med fysisk åtkomst kan angripare få åtkomst till serverenheter, återställa lösenord och få åtkomst till växlar. Fysisk tillgång underlättar också mer sofistikerade attacker som människoattacker, vilket är anledningen till att det andra säkerhetslagret, nätverkssäkerheten, är avgörande.
Självkrypteringsenheter används i datacenter för dedikerade instans som är värd för UC-program.
Mer information om allmän säkerhetspraxis finns i dokumentationen på följande plats: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Nätverkssäkerhet
Partner måste se till att alla nätverkselement är säkra i Dedicated Instance-infrastruktur (som ansluter via Equinix). Det är partnerns ansvar att säkerställa bästa säkerhetsmetoder, till exempel:
-
Separera VLAN för röst och data
-
Aktivera portsäkerhet som begränsar antalet tillåtna MAC-adresser per port, mot översvämningar i CAM-tabellen
-
IP-källskydd mot förfalskade IP-adresser
-
Dynamisk ARP-inspektion (DAI) undersöker adressupplösningsprotokoll (ARP) och gratis ARP (GARP) för överträdelser (mot ARP spoofing)
-
802.1x begränsar nätverksåtkomst för autentisering av enheter på tilldelade VLAN (telefoner har stöd för 802.1x)
-
Konfiguration av tjänstekvalitet (QoS) för lämplig märkning av röstpaket
-
Konfigurationer för brandväggsportar för att blockera all annan trafik
Säkerhet för slutpunkter
Cisco-slutpunkter har stöd för standardsäkerhetsfunktioner som signerad firmware, säker start (valda modeller), tillverkarens installerade certifikat (MIC) och signerade konfigurationsfiler, vilket ger en viss säkerhetsnivå för slutpunkter.
Dessutom kan en partner eller kund aktivera ytterligare säkerhet, till exempel:
-
Kryptera IP-telefontjänster (via HTTPS) för tjänster som Extension Mobility
-
Utfärda lokalt betydelsefulla certifikat (LSC) från certifikatmyndighetens proxyfunktion (CAPF) eller en offentlig certifikatutfärdare (CA)
-
Kryptera konfigurationsfiler
-
Kryptera media och signalering
-
Inaktivera dessa inställningar om de inte används: PC-port, PC-röst VLAN-åtkomst, gratis ARP, webbåtkomst, inställningsknapp, SSH, konsol
Implementering av säkerhetsmekanismer i den dedikerade instansen förhindrar identitetsstöld av telefoner och Unified CM-servern, datamanipulering och manipulering av samtalssignaler/medieströmmar.
Dedikerad instans över nätverket:
-
Upprättar och upprätthåller autentiserade kommunikationsströmmar
-
Signerar filer digitalt innan filen överförs till telefonen
-
Krypterar medieströmmar och samtalssignalering mellan Cisco Unified IP-telefoner
Säkerhet ger som standard följande automatiska säkerhetsfunktioner för Cisco Unified IP-telefoner:
-
Signering av telefonens konfigurationsfiler
-
Stöd för kryptering av telefonkonfigurationsfil
-
HTTPS med Tomcat och andra webbtjänster (MID lets)
För senare Unified CM-version 8.0 tillhandahålls dessa säkerhetsfunktioner som standard utan att köra klienten Certificate Trust List (CTL).
Verifieringstjänst för förtroendeEftersom det finns ett stort antal telefoner i ett nätverk och IP-telefoner har begränsat minne fungerar Cisco Unified CM som en extern förtroendebutik via Trust Verification Service (TVS) så att en certifikatbetrodd butik inte behöver placeras på varje telefon. Cisco IP-telefoner kontaktar TVS-servern för verifiering eftersom de inte kan verifiera en signatur eller certifikat via CTL- eller ITL-filer. Det är lättare att hantera att ha en central förtroendebutik än att ha en förtroendebutik på varje Cisco Unified IP-telefon.
TVS gör det möjligt för Cisco Unified IP-telefoner att autentisera programservrar, till exempel EM-tjänster, katalog och MIDLET, under HTTPS-etablering.
Initial förtroendelistaFilen Initial Trust List (ITL) används för den initiala säkerheten, så att slutpunkterna kan lita på Cisco Unified CM. ITL behöver inte några säkerhetsfunktioner vara aktiverade uttryckligen. ITL-filen skapas automatiskt när klustret installeras. Unified CM Trivial File Transfer Protocol (TFTP)-serverns privata nyckel används för att signera ITL-filen.
När Cisco Unified CM-klustret eller servern är i osäkert läge hämtas ITL-filen på alla Cisco IP-telefoner som stöds. En partner kan visa innehållet i en ITL-fil med CLI-kommandot, admin:visa itl.
Cisco IP-telefoner behöver ITL-filen för att utföra följande uppgifter:
-
Kommunicera säkert till CAPF, en förutsättning för att stödja kryptering av konfigurationsfil
-
Autentisera konfigurationsfilsignaturen
-
Autentisera programservrar, till exempel EM-tjänster, katalog och MIDlet under HTTPS-etablering med TVS
Autentisering av enhet, fil och signalering är beroende av att filen Certificate Trust List (CTL) skapas när partnern eller kunden installerar och konfigurerar klienten för Ciscos betrodda certifikat.
CTL-filen innehåller poster för följande servrar eller säkerhetstokens:
-
Säkerhetstoken för systemadministratör (SAST)
-
Cisco CallManager och Cisco TFTP-tjänster som körs på samma server
-
Proxyfunktion för certifikatsauktoritet (CAPF)
-
TFTP-server(er)
-
ASA-brandvägg
CTL-filen innehåller ett servercertifikat, offentlig nyckel, serienummer, signatur, utfärdarnamn, ämnesnamn, serverfunktion, DNS-namn och IP-adress för varje server.
Telefonsäkerhet med CTL ger följande funktioner:
-
Autentisering av hämtade TFTP-filer (konfiguration, språk, ringlista och så vidare) med en signeringsnyckel
-
Kryptering av TFTP-konfigurationsfiler med en signeringsnyckel
-
Krypterad samtalssignalering för IP-telefoner
-
Krypterat samtalsljud (media) för IP-telefoner
Dedikerad instans tillhandahåller slutpunktsregistrering och samtalsbehandling. Signaleringen mellan Cisco Unified CM och slutpunkter baseras på Secure Skinny Client Control Protocol (SCCP) eller Session Initiation Protocol (SIP) och kan krypteras med Transport Layer Security (TLS). Media från/till slutpunkterna baseras på Real-time Transport Protocol (RTP) och kan även krypteras med Secure RTP (SRTP).
Om du aktiverar blandat läge i Unified CM aktiveras kryptering av signalering och medietrafik från och till Cisco-slutpunkterna.
Säkra UC-program
Aktivera blandat läge i dedikerad instansBlandat läge är aktiverat som standard i Dedicated Instance.
Genom att aktivera blandat läge i dedikerad instans kan du utföra kryptering av signalering och medietrafik från och till Cisco-slutpunkterna.
I Cisco Unified CM version 12.5(1) lades ett nytt alternativ till att aktivera kryptering av signalering och media baserat på SIP OAuth istället för blandat läge/CTL för Jabber- och Webex-klienter. Därför kan SIP OA uth och SRTP användas i Unified CM version 12.5(1) för att aktivera kryptering för signalering och media för Jabber- eller Webex-klienter. Aktivering av blandat läge krävs fortfarande för Cisco IP-telefoner och andra Cisco-slutpunkter. Det finns en plan för att lägga till stöd för SIP OAuth i 7800/8800 slutpunkter i en framtida version.
Säkerhet för röstmeddelandenCisco Unity Connection ansluter till Unified CM via TLS-porten. När enhetens säkerhetsläge inte är säkert ansluter Cisco Unity Connection till Unified CM via SCCP-porten.
Om du vill konfigurera säkerheten för Unified CM-röstmeddelandeportar och Cisco Unity-enheter som kör SCCP eller Cisco Unity Connection-enheter som kör SCCP kan en partner välja ett säkert enhetssäkerhetsläge för porten. Om du väljer en autentiserad röstbrevlådeport öppnas en TLS-anslutning som autentiserar enheterna med hjälp av ett ömsesidigt certifikatutbyte (varje enhet accepterar certifikatet för den andra enheten). Om du väljer en krypterad röstbrevlådeport autentiserar systemet först enheterna och skickar sedan krypterade röstströmmar mellan enheterna.
Mer information om portar för säkerhetsröstmeddelanden finns i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified SU1_chapter_010001.html
Säkerhet för SRST, trunkar, gateways, CUBE/SBC
En Cisco Unified Survivable Remote Site Telephony (SRST) aktiverad gateway tillhandahåller begränsade samtalsbehandlingsuppgifter om Cisco Unified CM på dedikerad instans inte kan slutföra samtalet.
Säkra SRST-aktiverade gateways innehåller ett självsignerat certifikat. När en partner utför SRST-konfigurationsuppgifter i Unified CM Administration använder Unified CM en TLS-anslutning för att autentisera med certifikatleverantörstjänsten i SRST-aktiverad gateway. Unified CM hämtar sedan certifikatet från SRST-aktiverad gateway och lägger till certifikatet i Unified CM-databasen.
När partnern återställer de beroende enheterna i Unified CM Administration lägger TFTP-servern till SRST-aktiverad gatewaycertifikatet i telefonens cnf.xml-fil och skickar filen till telefonen. En säker telefon använder sedan en TLS-anslutning för att interagera med SRST-aktiverad gateway.
Det rekommenderas att ha säkra trunkar för samtalet från Cisco Unified CM till gatewayen för utgående PSTN-samtal eller för att passera genom Cisco Unified Border Element (CUBE).
SIP-trunkar kan stödja säkra samtal både för signalering och media. TLS tillhandahåller signalkryptering och SRTP tillhandahåller mediekryptering.
Säkra kommunikationen mellan Cisco Unified CM och CUBE
För säker kommunikation mellan Cisco Unified CM och CUBE måste partner/kunder använda antingen självsignerat certifikat eller CA-signerade certifikat.
För självsignerade certifikat:
-
CUBE och Cisco Unified CM genererar självsignerade certifikat
-
CUBE-exportcertifikat till Cisco Unified CM
-
Cisco Unified CM exporterar certifikat till CUBE
För CA-signerade certifikat:
-
Klienten genererar ett nyckelpar och skickar en certifikatsigneringsbegäran (CSR) till certifikatmyndigheten (CA)
-
CA signerar den med sin privata nyckel, vilket skapar ett identitetscertifikat
-
Klienten installerar listan över betrodda CA-rot- och mellancertifikat och identitetscertifikatet
Säkerhet för fjärrslutpunkter
Med Mobile and Remote Access (MRA)-slutpunkter krypteras signalering och media alltid mellan MRA-slutpunkterna och Expressway-noderna. Om ICE (Interactive Connectivity Establishment)-protokollet används för MRA-slutpunkter krävs signalering och mediekryptering av MRA-slutpunkterna. Kryptering av signalering och media mellan Expressway-C och de interna Unified CM-servrarna, interna slutpunkter eller andra interna enheter kräver blandat läge eller SIP OAuth.
Cisco Expressway ger säker brandväggspärrning och linjestöd för Unified CM-registreringar. Unified CM tillhandahåller samtalskontroll för både mobila och lokala slutpunkter. Signalering passerar Expressway-lösningen mellan fjärrslutpunkten och Unified CM. Media passerar Expressway-lösningen och vidarekopplas direkt mellan slutpunkterna. Alla media krypteras mellan Expressway-C och den mobila slutpunkten.
Alla MRA-lösningar kräver Expressway och Unified CM, med MRA-kompatibla mjukklienter och/eller fasta slutpunkter. Lösningen kan även inkludera IM- och Presence-tjänsten och Unity Connection.
Protokollsammanfattning
Följande tabell visar protokoll och tillhörande tjänster som används i Unified CM-lösningen.
Protokoll |
Säkerhet |
Tjänst |
---|---|---|
SIP |
TLS |
Sessionsetablering: Registrera, bjud in osv. |
https |
TLS |
Inloggning, etablering/konfiguration, katalog, visuell röstbrevlåda |
Media |
srtp |
Media: Ljud, video, innehållsdelning |
xmpp |
TLS |
Snabbmeddelanden, närvaro, federation |
Mer information om MRA-konfiguration finns i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurationsalternativ
Den dedikerade instansen ger partnern flexibilitet att anpassa tjänster för slutanvändare genom fullständig kontroll av dag två konfigurationer. Därför är partnern ensam ansvarig för korrekt konfiguration av tjänsten för dedikerad instans för slutanvändarens miljö. Detta inkluderar, men är inte begränsat till:
-
Välja säkra/osäkra samtal, säkra/osäkra protokoll som SIP/s SIP, http/https osv. och förstå eventuella tillhörande risker.
-
För alla MAC-adresser som inte har konfigurerats som säker-SIP i dedikerad instans kan en angripare skicka SIP-registreringsmeddelande med den MAC-adressen och kunna ringa SIP-samtal, vilket resulterar i avgiftsbedrägeri. Den som söker är att angriparen kan registrera sin SIP-enhet/programvara till Dedicated Instance utan auktorisation om de känner till MAC-adressen för en enhet som är registrerad i Dedicated Instance.
-
Expressway-E-samtalspolicyer, omvandlingsregler och sökregler bör konfigureras för att förhindra avgiftsbedrägeri. Mer information om hur du förhindrar avgiftsbedrägerier med hjälp av Expressways finns i avsnittet Säkerhet för Expressway C och Expressway-E i Collaboration SRND.
-
Konfiguration av nummerplan för att säkerställa att användare endast kan ringa destinationer som är tillåtna, t.ex. förbjuda nationell/internationell uppringning, nödsamtal dirigeras korrekt osv. Mer information om tillämpning av begränsningar med nummerplan finns i avsnittet Nummerplan i Collaboration SRND.
Certifikatkrav för säkra anslutningar i dedikerad instans
För dedikerad instans tillhandahåller Cisco domänen och undertecknar alla certifikat för UC-program med en offentlig certifikatutfärdare (CA).
Dedikerad instans – portnummer och protokoll
Följande tabeller beskriver portar och protokoll som stöds i Dedikerad instans. Portar som används för en viss kund beror på kundens distribution och lösning. Protokoll beror på kundens inställningar (SCCP vs SIP), befintliga lokala enheter och vilken säkerhetsnivå som ska användas för att avgöra vilka portar som ska användas i varje distribution.
Dedikerad instans tillåter inte nätverksadressöversättning (NAT) mellan slutpunkter och Unified CM eftersom vissa funktioner för samtalsflödet inte fungerar, till exempel funktionen för mitten av samtal. |
Dedikerad instans – kundportar
De portar som är tillgängliga för kunder – mellan den lokala kunden och den dedikerade instansen visas i tabell 1 Kundportar för den dedikerade instansen. Alla portar som listas nedan är avsedda för kundtrafik genom peering länkar.
SNMP-porten är öppen som standard endast för Cisco Emergency Responder som stöder dess funktionalitet. Eftersom vi inte stöder partner eller kunder som övervakar UC-program som distribueras i Dedicated Instance-molnet tillåter vi inte att SNMP-porten öppnas för andra UC-program. |
Portar i intervallet 5063 till 5080 reserveras av Cisco för andra molnintegreringar, partner- eller kundadministratörer rekommenderas att inte använda dessa portar i sina konfigurationer. |
Protokoll |
TCP/UDP |
Källa |
Destination |
Källport |
Destinationsport |
Syfte | ||
---|---|---|---|---|---|---|---|---|
ssh |
TCP |
Klient |
UC-program
|
Större än 1023 |
22 |
Administration |
||
tftp |
UDP |
Slutpunkt |
Unified CM |
Större än 1023 |
69 |
Stöd för äldre slutpunkter |
||
LDAP |
TCP |
UC-program |
Extern katalog |
Större än 1023 |
389 |
Katalogsynkronisering till kundens LDAP |
||
https |
TCP |
Webbläsare |
UC-program |
Större än 1023 |
443 |
Webbåtkomst för självbetjänings- och administrationsgränssnitt |
||
Utgående post (SECURE) |
TCP |
UC-program |
CUC xn |
Större än 1023 |
587 |
Används för att skapa och skicka säkra meddelanden till alla utsedda mottagare |
||
ldap (säker) |
TCP |
UC-program |
Extern katalog |
Större än 1023 |
636 |
Katalogsynkronisering till kundens LDAP |
||
h323 |
TCP |
Gateway |
Unified CM |
Större än 1023 |
1720 |
Samtalssignalering |
||
h323 |
TCP |
Unified CM |
Unified CM |
Större än 1023 |
1720 |
Samtalssignalering |
||
sccp |
TCP |
Slutpunkt |
Unified CM, CUC xn |
Större än 1023 |
2000 |
Samtalssignalering |
||
sccp |
TCP |
Unified CM |
Unified CM, gateway |
Större än 1023 |
2000 |
Samtalssignalering |
||
mgcp |
UDP |
Gateway |
Gateway |
Större än 1023 |
2427 |
Samtalssignalering |
||
MGCP Backhaul |
TCP |
Gateway |
Unified CM |
Större än 1023 |
2428 |
Samtalssignalering |
||
sccp (säker) |
TCP |
Slutpunkt |
Unified CM, CUC xn |
Större än 1023 |
2443 |
Samtalssignalering |
||
sccp (säker) |
TCP |
Unified CM |
Unified CM, gateway |
Större än 1023 |
2443 |
Samtalssignalering |
||
Förtroendeverifiering |
TCP |
Slutpunkt |
Unified CM |
Större än 1023 |
2445 |
Tillhandahålla förtroendeverifieringstjänst till slutpunkter |
||
Lä |
TCP |
Slutpunkt |
Unified CM |
Större än 1023 |
2748 |
Anslutning mellan CTI-program (JTAPI/TSP) och CTIManager |
||
Säker CTI |
TCP |
Slutpunkt |
Unified CM |
Större än 1023 |
2749 |
Säker anslutning mellan CTI-program (JTAPI/TSP) och CTIManager |
||
LDAP Global Catalog |
TCP |
UC-program |
Extern katalog |
Större än 1023 |
3268 |
Katalogsynkronisering till kundens LDAP |
||
LDAP Global Catalog |
TCP |
UC-program |
Extern katalog |
Större än 1023 |
3269 |
Katalogsynkronisering till kundens LDAP |
||
CAPF-tjänst |
TCP |
Slutpunkt |
Unified CM |
Större än 1023 |
3804 |
Certificate Authority Proxy Function (CAPF) lyssningsporten för utfärdande av lokalt signifikanta certifikat (LSC) till IP-telefoner |
||
SIP |
TCP |
Slutpunkt |
Unified CM, CUC xn |
Större än 1023 |
5060 |
Samtalssignalering |
||
SIP |
TCP |
Unified CM |
Unified CM, gateway |
Större än 1023 |
5060 |
Samtalssignalering |
||
sip (säker) |
TCP |
Slutpunkt |
Unified CM |
Större än 1023 |
5061 |
Samtalssignalering |
||
sip (säker) |
TCP |
Unified CM |
Unified CM, gateway |
Större än 1023 |
5061 |
Samtalssignalering |
||
sip (oauth) |
TCP |
Slutpunkt |
Unified CM |
Större än 1023 |
5090 |
Samtalssignalering |
||
xmpp |
TCP |
Jabber-klient |
Cisco IM&P |
Större än 1023 |
5222 |
Snabbmeddelanden och närvaro |
||
HTTP |
TCP |
Slutpunkt |
Unified CM |
Större än 1023 |
6970 |
Hämtar konfiguration och bilder till slutpunkter |
||
https |
TCP |
Slutpunkt |
Unified CM |
Större än 1023 |
6971 |
Hämtar konfiguration och bilder till slutpunkter |
||
https |
TCP |
Slutpunkt |
Unified CM |
Större än 1023 |
6972 |
Hämtar konfiguration och bilder till slutpunkter |
||
HTTP |
TCP |
Jabber-klient |
CUC xn |
Större än 1023 |
7080 |
Meddelanden om röstbrevlåda |
||
https |
TCP |
Jabber-klient |
CUC xn |
Större än 1023 |
7443 |
Säkra meddelanden om röstbrevlåda |
||
https |
TCP |
Unified CM |
Unified CM |
Större än 1023 |
7501 |
Används av Intercluster Lookup Service (ILS) för certifikatbaserad autentisering |
||
https |
TCP |
Unified CM |
Unified CM |
Större än 1023 |
7502 |
Används av ILS för lösenordsbaserad autentisering |
||
imap |
TCP |
Jabber-klient |
CUC xn |
Större än 1023 |
7993 |
IMAP över TLS |
||
HTTP |
TCP |
Slutpunkt |
Unified CM |
Större än 1023 |
8080 |
Katalog-URI för stöd för äldre slutpunkter |
||
https |
TCP |
Webbläsare, slutpunkt |
UC-program |
Större än 1023 |
8443 |
Webbåtkomst för självbetjänings- och administrationsgränssnitt, UDS |
||
https |
TCP |
Telefon |
Unified CM |
Större än 1023 |
9443 |
Autentiserad kontaktsökning |
||
HTTP-er |
TCP |
Slutpunkt |
Unified CM |
Större än 1023 |
9444 |
Funktion för headsethantering |
||
Säker RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 till 32767 * |
16384 till 32767 * |
Media (ljud) – Musik i vänteläge, Annunciator, Software Conference Bridge (öppen baserat på samtalssignalering) |
||
Säker RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 till 32767 * |
16384 till 32767 * |
Media (ljud) – Musik i vänteläge, Annunciator, Software Conference Bridge (öppen baserat på samtalssignalering) |
||
kober |
TCP |
Klient |
CUC xn |
Större än 1023 |
20532 |
Säkerhetskopiera och återställ programsviten |
||
icmp |
icmp |
Slutpunkt |
UC-program |
ej tillämpligt |
ej tillämpligt |
Ping |
||
icmp |
icmp |
UC-program |
Slutpunkt |
ej tillämpligt |
ej tillämpligt |
Ping |
||
DNS | UDP och TCP |
DNS-vidarebefordrar |
Dedikerad DNS-server för instans |
Större än 1023 |
53 |
Kundplatsens DNS-vidarebefordrar till dedikerad instans DNS-servrar. Se DNS-kraven för mer information. |
||
* Vissa specialfall kan använda ett större intervall. |
Dedikerad instans – OTT-portar
Följande port kan användas av kunder och partners för inställning av mobil- och Remote Access (MRA):
Protokoll |
tcp/ucp |
Källa |
Destination |
Källport |
Destinationsport |
Syfte |
---|---|---|---|---|---|---|
säker rtp/rtcp |
UDP |
Expressway C |
Klient |
Större än 1023 |
36000-59999 |
Säkra media för MRA- och B2B-samtal |
SIP-trunk mellan flerklient och dedikerad instans (endast för registreringsbaserad trunk)
Följande lista över portar måste tillåtas på kundens brandvägg för den registreringsbaserade SIP-trunken som ansluter mellan multiklienten och dedikerad instans.
Protokoll |
tcp/ucp |
Källa |
Destination |
Källport |
Destinationsport |
Syfte |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Multiklient för Webex Calling |
Klient |
Större än 1023 |
8000-48198 |
Media från Webex Calling Multitenant |
Dedikerad instans – UCCX-portar
Följande lista över portar kan användas av kunder och partner för att konfigurera UCCX.
Protokoll |
tcp / ucp |
Källa |
Destination |
Källport |
Destinationsport |
Syfte |
---|---|---|---|---|---|---|
ssh |
TCP |
Klient |
uccx |
Större än 1023 |
22 |
SFTP och SSH |
Informex |
TCP |
Klient eller server |
uccx |
Större än 1023 |
1504 |
Databasporten för Contact Center Express |
SIP |
UDP och TCP |
SIP GW- eller MCRP-server |
uccx |
Större än 1023 |
5065 |
Kommunikation till fjärranslutna GW- och MCRP-noder |
xmpp |
TCP |
Klient |
uccx |
Större än 1023 |
5223 |
Säker XMPP-anslutning mellan Finesse-servern och anpassade tredjepartsprogram |
cvd |
TCP |
Klient |
uccx |
Större än 1023 |
6999 |
Redigerare till CCX-program |
https |
TCP |
Klient |
uccx |
Större än 1023 |
7443 |
Säker BOSH-anslutning mellan Finesse-servern och agent- och arbetsledarskrivbord för kommunikation via HTTPS |
HTTP |
TCP |
Klient |
uccx |
Större än 1023 |
8080 |
Livedatarapportklienter ansluter till en kontakt.IO-server |
HTTP |
TCP |
Klient |
uccx |
Större än 1023 |
8081 |
Klientwebbläsare försöker komma åt webbgränssnittet för Cisco Unified Intelligence Center |
HTTP |
TCP |
Klient |
uccx |
Större än 1023 |
8443 |
Administratörs-GUI, RTMT, DB-åtkomst via SOAP |
https |
TCP |
Klient |
uccx |
Större än 1023 |
8444 |
Webbgränssnitt för Cisco Unified Intelligence Center |
https |
TCP |
Webbläsare- och REST-klienter |
uccx |
Större än 1023 |
8445 |
Säker port för Finesse |
https |
TCP |
Klient |
uccx |
Större än 1023 |
8447 |
HTTPS – onlinehjälp för Unified Intelligence Center |
https |
TCP |
Klient |
uccx |
Större än 1023 |
8553 |
Komponenter med enkel inloggning (SSO) kommer åt det här gränssnittet för att veta driftstatus för Cisco IDS. |
HTTP |
TCP |
Klient |
uccx |
Större än 1023 |
9080 |
Klienter försöker få åtkomst till HTTP-utlöser eller dokument/uppmaningar/grammars/live-data. |
https |
TCP |
Klient |
uccx |
Större än 1023 |
9443 |
Säker port som används för att svara på klienter som försöker komma åt HTTPS-utlösare |
TCP |
TCP |
Klient |
uccx |
Större än 1023 |
12014 |
Detta är porten där livedatarapporteringsklienter kan ansluta till uttaget.IO-servern |
TCP |
TCP |
Klient |
uccx |
Större än 1023 |
12015 |
Detta är porten där livedatarapporteringsklienter kan ansluta till uttaget.IO-servern |
Lä |
TCP |
Klient |
uccx |
Större än 1023 |
12028 |
CTI-klient från tredje part till CCX |
RTP(media) |
TCP |
Slutpunkt |
uccx |
Större än 1023 |
Större än 1023 |
Medieporten öppnas dynamiskt vid behov |
RTP(media) |
TCP |
Klient |
Slutpunkt |
Större än 1023 |
Större än 1023 |
Medieporten öppnas dynamiskt vid behov |
Klientsäkerhet
Säkra Jabber och Webex med SIP OA uth
Jabber- och Webex-klienter autentiseras via en OAuth-token i stället för ett lokalt betydelsefullt certifikat (LSC), vilket inte kräver aktivering av certifikatauktoritetsproxyfunktion (CAPF) (även för MRA). SIP OA uth som arbetar med eller utan blandat läge introducerades i Cisco Unified CM 12.5 (1), Jabber 12.5 och Expressway X12.5.
I Cisco Unified CM 12.5 har vi ett nytt alternativ i telefonsäkerhetsprofilen som möjliggör kryptering utan LSC/CAPF, med hjälp av en enda Transport Layer Security (TLS) + OAuth-token i SIP REGISTER. Expressway-C-noder använder API för administrativ XML-webbtjänst (AXL) FÖR ATT INFORMERA Cisco UniFIED CM om SN/SAN i certifikatet. Cisco Unified CM använder denna information för att validera Exp-C-certifikatet när en ömsesidig TLS-anslutning upprättas.
SIP OA uth möjliggör media- och signaleringskryptering utan ett slutpunktscertifikat (LSC).
Cisco Jabber använder efemerportar och säkra portar 6971 och 6972 portar via HTTPS-anslutning till TFTP-servern för att hämta konfigurationsfilerna. Port 6970 är en icke-säker port för hämtning via HTTP.
Mer information om SIP OA uth-konfiguration: SIP OA uth-läge.
DNS-krav
För dedikerad instans tillhandahåller Cisco FQDN för tjänsten i varje region i följande format <customer>.<region>.wxc-di.webex.com till exempel, xyz.amer.wxc-di.webex.com.
Kundvärdet tillhandahålls av administratören som en del av guiden för förstagångsinställningar (FTSW). Mer information finns i Aktivering av tjänsten för dedikerad instans.
DNS-poster för denna FQDN måste kunna lösas från kundens interna DNS-server för att stödja lokala enheter som ansluter till den dedikerade instansen. För att underlätta upplösningen måste kunden konfigurera en villkorad vidarebefordrar, för denna FQDN, på sin DNS-server som pekar mot DNS-tjänsten för dedikerad instans. DNS-tjänsten för dedikerad instans är regional och kan nås via peering till dedikerad instans med hjälp av följande IP-adresser som anges i tabellen nedan Dedikerad instans IP-adress.
Region/DC | IP-adress för dedikerad instans DNS-tjänst |
Exempel på villkorad vidarekoppling |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
sjc |
69.168.17.100 |
|
dfw |
69.168.17.228 |
|
Europa, Mellanöstern och Afrika |
<customer>.emea.wxc-di.webex.com |
|
ljn |
178.215.138.100 |
|
ams |
178 215 138 228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
från |
178.215.131.100 |
|
ams |
178 215 131 228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
utan |
103.232.71.100 |
|
tky |
103 232 71 228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
mjöl |
178.215.128.100 |
|
söderut |
178 215 128 228 |
Ping-alternativet är inaktiverat för ovan nämnda DNS-serverns IP-adresser av säkerhetsskäl. |
Tills den villkorade vidarekopplingen är på plats kommer enheterna inte att kunna registrera sig till den dedikerade instansen från kundens interna nätverk via peering-länkarna. Villkorlig vidarekoppling krävs inte för registrering via Mobile and Remote Access (MRA), eftersom alla de externa DNS-poster som krävs för att underlätta MRA kommer att företableras av Cisco.
När du använder Webex-programmet som din samtalsklient i Dedicated Instance måste en UC Manager-profil konfigureras i Control Hub för varje regions rösttjänstdomän (VSD). Mer information finns i UC Manager-profiler i Cisco Webex Control Hub. Webex-programmet kan automatiskt lösa kundens Expressway Edge utan några slutanvändaringrepp.
Rösttjänstdomän kommer att tillhandahållas kunden som en del av partneråtkomstdokumentet när tjänsteaktiveringen har slutförts. |
Använd en lokal router för telefonens DNS-upplösning
För telefoner som inte har åtkomst till företagets DNS-servrar är det möjligt att använda en lokal Cisco-router för att vidarebefordra DNS-förfrågningar till det dedikerade instans molnbaserade DNS. Detta tar bort behovet av att distribuera en lokal DNS-server och ger fullt DNS-stöd inklusive cachelagring.
Exempel-konfiguration :
!
ip-dns-server
ip-namnserver <DI DNS-server IP DC1> <DI DNS-server IP DC2>
!
DNS-användningen i den här distributionsmodellen är specifik för telefoner och kan endast användas för att lösa FQDN:er med domänen från kundens dedikerade instans. |
Referenser
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), säkerhetsämne: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Säkerhetsguide för Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html