Nätverkskrav för dedikerad instans

Webex Calling Dedicated Instance ingår i Cisco Cloud Calling-portföljen som drivs av samarbetstekniken Cisco Unified Communications Manager (Cisco Unified CM). Dedikerad instans erbjuder röst-, video-, meddelande- och rörlighetslösningar med funktionerna och fördelarna med Cisco IP-telefoner, mobila enheter och skrivbordsklienter som ansluter säkert till den dedikerade instansen.

Den här artikeln riktar sig till nätverksadministratörer, i synnerhet till brandväggs- och proxysäkerhetsadministratörer som vill använda dedikerade instanser inom sin organisation.

Säkerhetsöversikt: Säkerhet i lager

Dedikerade instans använder en lagrard metod för säkerhet. Lagerskikten inkluderar:

  • Fysisk åtkomst

  • Nätverk

  • Slutpunkter

  • UC-program

Följande avsnitt beskriver säkerhetsskikten i dedikerade instansdistributioner .

Fysisk säkerhet

Det är viktigt att fysisk säkerhet erbjuds till Equinix Meet-Me-rum-platser och cisco dedikerade instansdatacenters platser. När fysisk säkerhet komprometteras kan enkla avbrott såsom tjänsteavbrott genom att stänga av ström till en kunds växlingar startas. Med fysisk åtkomst kan angripare få åtkomst till serverenheter, återställa lösenord och få åtkomst till växlar. Fysisk åtkomst underlättar också mer sofistikerat, som "man-in-the-middle" och det är därför det andra säkerhetslagret, nätverkets säkerhet, är kritisk.

Självkrypteringsenheter används i dedikerade instansdatacenter som är värd för UC-program.

Mer information om allmänna säkerhetsrutiner finns i dokumentationen på följande plats: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Nätverkssäkerhet

Partner måste säkerställa att alla nätverkselement är säkra i dedikerad instansinfrastruktur (som ansluter via Equinix). Det är partners ansvar att säkerställa bästa säkerhetspraxis såsom:

  • Separera VLAN för röst och data

  • Aktivera portsäkerhet, vilket begränsar antalet MAC-adresser som tillåts per port, mot CAM-tabellen och

  • IP-källskydd mot falska IP-adresser

  • Dynamisk ARP-kontroll (DAI) undersöker adresseringsprotokoll (ARP) och gratuitous ARP (GARP) för överträdelser (mot ARP-förfalskning)

  • 802. begränsar1x nätverksåtkomsten till autentiserade enheter på tilldelade EN-ett-nummer (telefoner har stöd för 802.1x)

  • Konfiguration av tjänstekvalitet (QoS) för lämplig märkning av röstpaket

  • Konfigurationer av brandväggsportar för att blockera all annan trafik

Säkerhet för slutpunkter

Cisco-slutpunkter stöder standardfunktioner för säkerhetsfunktioner som signerad inbyggd programvara, säker uppstart (valda modeller), tillverkarens installerade certifikat (MIC) och signerade konfigurationsfiler, vilket ger en viss säkerhetsnivå för slutpunkter.

Dessutom kan en partner eller kund aktivera ytterligare säkerhet, såsom:

  • Kryptera IP-telefontjänster (via HTTPS) för tjänster som Extension Mobility

  • Utfärda lokalt viktiga certifikat (LSCs) från certifikatutfärdarens proxyfunktion (CAPF) eller en offentlig certifikatutfärdare (CA)

  • Kryptera konfigureringsfiler

  • Kryptera media och signalering

  • Inaktivera dessa inställningar om de inte används: PC-port, PC Voice VLAN Access, Gratuitous ARP, Webbåtkomst, Inställningsknapp, SSH, konsol

Genom att implementera säkerhetsmekanismer i Dedikerade instans förhindras identitetsstöld av telefoner och Unified CM-servern, manipulering av data och manipulering av data och manipulering av samtal/mediaströmning.

Dedikerad instans över nätverket:

  • Etablerar och underhåller autentiserade kommunikationsströmmar

  • Signerar filer digitalt innan du överför filen till telefonen

  • Krypterar medieströmmar och samtalssignalering mellan IP Cisco Unified telefoner

Standardsäkerhetsinställning

Säkerhet som standard innehåller följande automatiska säkerhetsfunktioner för Cisco Unified IP-telefoner:

  • Signera telefonkonfigurationsfilerna

  • Stöd för filkryptering av telefonkonfiguration

  • HTTPS med Tomcat och andra webbtjänster (MIDcat)

För Unified CM-version 8.0 senare tillhandahålls dessa säkerhetsfunktioner som standard utan att köra klienten för certifikatsäkerhetslista (CTL).

Verifieringstjänst för förtroende

Eftersom det finns många telefoner i ett nätverk och IP-telefoner har begränsat minne kan Cisco Unified CM agera som en betrodd fjärrlagring via Trust Verification Service (TVS) så att ett certifikats betrodda arkiv inte behöver placeras på varje telefon. Cisco IP-telefoner kontaktar TVS-servern för verifiering eftersom de inte kan verifiera en signatur eller ett certifikat via CTL- eller ITL-filer. Att ha en central betrodd lagring är enklare att hantera än att ha den betrodda lagringen på varje Cisco Unified IP-telefon.

TVS gör det Cisco Unified för IP-telefoner att autentisera programservrar som EM-tjänster, katalog och MIDlet under HTTPS-arkivet.

Initial lista över betrodda certifikat

Filen med den första betrodda listan (ITL) används för initial säkerhet så att slutpunkterna kan lita på Cisco Unified CM. DET kräver inte att några säkerhetsfunktioner uttryckligen aktiveras. ITL-filen skapas automatiskt när klustret installeras. Unified CM Trivial File Transfer Protocol-serverns (TFTP) privata nyckel används för att signera ITL-filen.

När servern Cisco Unified CM-kluster eller -server är i icke-säkert läge hämtas ITL-filen på alla Cisco IP-telefoner som stöds. En partner kan visa innehållet i en ITL-fil med kommandot CLI, admin:show itl.

Cisco IP-telefoner behöver ITL-filen för att utföra följande åtgärder:

  • Kommunicera säkert med CAPF, ett förhandskrav för att stödja konfigurationsfilkryptering

  • Verifiera konfigurationsfilens signatur

  • Autentisera programservrar som EM-tjänster, katalog och MIDlet under HTTPS förtjänst med hjälp av TVS

Cisco CTL

Enhet, fil och signaleringsautentisering förlitar sig på att en CTL-fil (Certificate Trust List, CTL) skapas när partnern eller kunden installerar och konfigurerar klienten för betrodda certifikat.

CTL-filen innehåller poster för följande servrar eller säkerhetstoken:

  • Säkerhetstoken för systemadministratör (SAST)

  • Cisco CallManager- och Cisco TFTP-tjänster som körs på samma server

  • Proxyfunktion för certifikatutfärdare (CAPF)

  • TFTP-server(er)

  • ASA-brandvägg

CTL-filen innehåller ett servercertifikat, offentlig nyckel, serienummer, signatur, utfärdarens namn, ämnesnamn, serverfunktion, DNS-namn och IP-adress för varje server.

Telefonsäkerhet med CTL tillhandahåller följande funktioner:

  • Verifiering av TFTP-hämtade filer (konfiguration, språk, ringlista o.s.v.) med hjälp av en signeringsnyckel

  • Kryptering av TFTP-konfigurationsfiler med hjälp av en signeringsnyckel

  • Krypterad samtalssignal för IP-telefoner

  • Krypterat samtalsljud (media) för IP-telefoner

Säkerhet för Cisco IP-telefoner i dedikerad instans

Dedikerad instans tillhandahåller slutpunktsregistrering och samtalsbearbetning. Signalerna mellan Cisco Unified CM och slutpunkter baseras på Secure Skinny Client Control Protocol (SCCP) eller Session Initiation Protocol (SIP) och kan krypteras med TLS (Transport Layer Security). Media från/till slutpunkterna baseras på RTP (Real-time Transport Protocol) och kan också krypteras med Secure RTP (SRTP).

Om du aktiverar blandat läge på Unified CM aktiveras kryptering av signalerings- och medietrafiken från och till Cisco-slutpunkterna.

Säkra UC-program

Aktivera blandat läge i dedikerad instans

Blandat läge är aktiverat som standard i dedikerad instans.

Om blandat läge aktiveras i dedikerad instans kan signalerings- och medietrafiken krypteras från och till Cisco-slutpunkterna.

I Cisco Unified CM-version 12.5(1) lades ett nytt alternativ för att aktivera kryptering av signalering och media baserat på SIP OAuth i stället för blandat läge/CTL till för Jabber- och Webex-klienter. I Unified CM-version 12.5(1) kan SIP OAuth och SRTP därför användas för att aktivera kryptering för signalering och media för Jabber- eller Webex-klienter. Aktivering av blandat läge krävs fortfarande för Cisco IP-telefoner och andra Cisco-slutpunkter. I en framtida version finns en plan för att lägga till stöd för SIP OAuth under 7800/8800-slutpunkter.

Säkerhet för röstmeddelanden

Cisco Unity Connection ansluter till Unified CM via TLS-porten. När enhetens säkerhetsläge inte är säkert ansluts Cisco Unity Connection Unified CM via SCCP-porten.

För att konfigurera säkerheten för Unified CM-röstmeddelandeportar och Cisco Unity-enheter som kör SCCP- eller Cisco Unity Connection-enheter som använder SCCP kan en partner välja ett säkert säkerhetsläge för porten. Om du väljer en autentiserad port för röstbrevlåda öppnas en TLS-anslutning som autentiserar enheterna genom att använda ett ömsesidigt certifikatutbyte (varje enhet accepterar certifikatet för den andra enheten). Om du väljer en krypterad port för röstbrevlådan autentiserar systemet först enheterna och skickar sedan krypterade röstströmmar mellan enheterna.

Mer information om portarna för säkerhetsmeddelanden finns i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Säkerhet för SRST, trunkar, gateways, CUBE/SBC

En gateway Cisco Unified kvarvarande fjärrwebbplatstelefoni (SRST) tillhandahåller begränsade uppgifter för samtalsbehandling om Cisco Unified CM på dedikerad instans inte kan slutföra samtalet.

Säkra SRST-aktiverade gateways innehåller ett själv signerat certifikat. När en partner har utför konfigurationsuppgifter för SRST i Unified CM-administration använder Unified CM en TLS-anslutning för att autentisera med tjänsten Certifikatleverantör i den SRST-aktiverade gatewayen. Unified CM hämtar sedan certifikatet från SRST-aktiverad gateway och lägger till certifikatet i Unified CM-databasen.

När partner återställer beroende enheter i Unified CM Administration lägger TFTP-servern till det SRST-aktiverade gatewaycertifikatet till telefonens cnf.xml-fil och skickar filen till telefonen. En säker telefon använder då en TLS-anslutning för att interagera med SRST-aktiverad gateway.

Det rekommenderas att ha säkra trunkar för samtalet som härstammar från Cisco Unified CM till gatewayen för utgående PSTN-samtal eller genomgående via Cisco Unified Border Element (CUBE).

SIP-trunkar kan stödja säkra samtal både för signalering och media; TLS tillhandahåller signaleringskryptering och SRTP tillhandahåller mediekryptering.

Säkra kommunikationen mellan Cisco Unified CM och CUBE

För säker kommunikation mellan Cisco Unified CM och CUBE måste partner/kunder använda antingen själv signerade certifikat eller CA-signerade certifikat.

För själv signerade certifikat:

  1. CUBE och Cisco Unified CM skapar själv signerade certifikat

  2. CUBE exporterar certifikat till Cisco Unified CM

  3. Cisco Unified CM-exportcertifikat till CUBE

För CA-signerade certifikat:

  1. Klienten skapar ett nyckelpar och skickar en certifikatsigneringsförfrågan (CSR) till certifikatutfärdaren (CA)

  2. CA signerar det med sin privata nyckel och skapar ett identitetscertifikat

  3. Klienten installerar listan över betrodda CA-rot- och klientcertifikat och identitetscertifikatet

Säkerhet för fjärrslutpunkter

Med mobil- Remote Access slutpunkter (MRA) krypteras signalerings- och mediet alltid mellan MRA-slutpunkterna och Expressway noder. Om protokollet Interaktiv anslutningskonställande (ICE) används för MRA-slutpunkter krävs signalering mediekryptering MRA-slutpunkter. Kryptering av signalering och media mellan Expressway-C och interna Unified CM-servrar, interna slutpunkter eller andra interna enheter kräver dock blandat läge eller SIP OAuth.

Cisco Expressway säker brandväggspassagen och stöd på radsidan för Unified CM-registreringar. Unified CM ger samtalskontroll för både mobila och lokala slutpunkter. Signalsignalen tar över Expressway lösning mellan fjärrslutpunkten och Unified CM. Media förflyttas över Expressway lösning och vidarebefordras direkt mellan slutpunkter. All media är krypterad mellan Expressway-C och den mobila slutpunkten.

Alla MRA-lösningar Expressway och Unified CM med MRA-kompatibla softklienter och/eller fasta slutpunkter. Lösningen kan tillval inkludera snabbmeddelande- och Presence-tjänsten och Unity Connection.

Protokollsammanfattning

Följande tabell visar protokollen och tillhörande tjänster som används i Unified CM-lösningen.

Tabell 1. Protokoll och tillhörande tjänster

Protocol

Säkerhet

Tjänst

SIP

TLS

Sessionen är inte med på det här mötet: Registrera dig, bjud in m.m.

HTTPS

TLS

Logga in, tillhandahållande/konfiguration, katalog, visuell röstbrevlåda

Media

SRTP

Media: Ljud, video, innehållsdelning

XMPP

TLS

Snabbmeddelanden, närvaro, federation

Mer information om MRA-konfiguration finns i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurationsalternativ

Den dedikerade instansen ger partner flexibiliteten att anpassa tjänster för slutanvändare genom full kontroll över dag två-konfigurationer. Detta innebär att partnern är ensamt ansvarig för korrekt konfiguration av dedikerad instans-tjänsten för slutanvändarens miljö. Detta inkluderar men inte begränsat till:

  • Välja säkra/osäkra samtal, säkra/osäkra protokoll som SIP/sSIP, http/https etc och förstå eventuella risker.

  • För alla MAC-adresser som inte har konfigurerats som säkra SIP i dedikerad instans kan en angripare skicka SIP-registermeddelande med den MAC-adressen och kan ringa SIP-samtal, vilket leder till avgiftsbelagda bedrägeri. Perquisite är att angriparen kan registrera sin SIP-enhet/ programvara till dedikerad instans utan behörighet om de känner till MAC-adressen till en enhet som är registrerad i Dedikerad instans.

  • Expressway-E-samtalsprinciper, transform- och sökregler bör konfigureras för att förhindra avgiftsbelagda bedrägeri. Mer information om hur du förhindrar avgiftsbelagda bedrägeri med Expressways finns i avsnittet Säkerhet för Expressway C Expressway-E i Collaboration SRND.

  • Konfiguration av nummerplan för att säkerställa att användare endast kan ringa destinationer som är tillåtna, t.ex. förbjuda nationella/internationella samtal, nödsamtal dirigeras korrekt osv. Mer information om hur du tillämpar begränsningar med nummerplan finns i avsnittet Nummerplan i Samarbete-SRND.

Certifikatkrav för säkra anslutningar i dedikerad instans

För dedikerad instans tillhandahåller Cisco domänen och signerar alla certifikat för UC-programmen med hjälp av en offentlig certifikatutfärdare (CA).

Dedikerad instans – portnummer och protokoll

Följande tabell beskriver de portar och protokoll som stöds i Dedikerad instans. Portar som används för en viss kund beror på kundens distribution och lösning. Protokollen beror på kundens önskemål (SCCP vs SIP), befintliga lokala enheter och vilken säkerhetsnivå som ska användas för att avgöra vilka portar som ska användas i varje distribution.

Dedikerad instans tillåter inte NAT (Network Address Translation) mellan slutpunkter och Unified CM eftersom vissa av samtalsflödesfunktionerna inte kommer att fungera, till exempel funktionen under samtalet.

Dedikerad instans – kundportar

Portarna som är tillgängliga för kunder – mellan den lokala kunden och den dedikerade instansen visas i Tabell 1 Dedikerade instanskundportar. Alla portar som listas nedan gäller för kundtrafik som går genom peering-länkarna.

SNMP-porten är som standard endast öppen för Cisco Emergency Responder för att stödja dess funktioner. Eftersom vi inte stöder partner eller kunder som övervakar de UC-program som distribueras i molnet för dedikerad instans tillåter vi inte att SNMP-porten öppnas för andra UC-program.

Portar i intervallet 5063 till 5080 har reserverats av Cisco för andra molnintegreringar. Partner- eller kundadministratörer rekommenderas att inte använda dessa portar i sina konfigurationer.

Tabell 2. Portar för dedikerade instanskunder

Protokoll

TCP/UDP

Source

Destination

Källport

Destinationsport

Syfte

Ssh

TCP

klient

UC-program

Ej tillåtet för Cisco Expressway-program.

Större än 1 023

22

Administration

Tftp

UDP

Slutpunkt

Unified CM

Större än 1 023

69

Stöd för äldre slutpunkt

LDAP

TCP

UC-program

Extern katalog

Större än 1 023

389

Katalogsynkronisering med kundens LDAP

HTTPS

TCP

Webbläsare

UC-program

Större än 1 023

443

Webbåtkomst för självhjälp och administrativa gränssnitt

Utgående e-post (SÄKER)

TCP

UC-program

CUCxn

Större än 1 023

587

Används för att skapa och skicka säkra meddelanden till alla avsedda mottagare

LDAP (SÄKERT)

TCP

UC-program

Extern katalog

Större än 1 023

636

Katalogsynkronisering med kundens LDAP

H323

TCP

Gateway

Unified CM

Större än 1 023

1720

Samtalssignalering

H323

TCP

Unified CM

Unified CM

Större än 1 023

1720

Samtalssignalering

SCCP

TCP

Slutpunkt

Unified CM och CUCxn

Större än 1 023

2000

Samtalssignalering

SCCP

TCP

Unified CM

Unified CM, Gateway

Större än 1 023

2000

Samtalssignalering

mgcp

UDP

Gateway

Gateway

Större än 1 023

2427

Samtalssignalering

MGCP-bakåtsträvande

TCP

Gateway

Unified CM

Större än 1 023

2428

Samtalssignalering

SCCP (SÄKER)

TCP

Slutpunkt

Unified CM och CUCxn

Större än 1 023

2443

Samtalssignalering

SCCP (SÄKER)

TCP

Unified CM

Unified CM, Gateway

Större än 1 023

2443

Samtalssignalering

Verifiering av tillit

TCP

Slutpunkt

Unified CM

Större än 1 023

2445

Tillhandahålla tillit för verifieringstjänst för slutpunkter

Cti

TCP

Slutpunkt

Unified CM

Större än 1 023

2748

Anslutning mellan CTI-program (JTAPI/TSP) och CTIManager

Säker CTI

TCP

Slutpunkt

Unified CM

Större än 1 023

2749

Säker anslutning mellan CTI-program (JTAPI/TSP) och CTIManager

LDAP Global katalog

TCP

UC-program

Extern katalog

Större än 1 023

3268

Katalogsynkronisering med kundens LDAP

LDAP Global katalog

TCP

UC-program

Extern katalog

Större än 1 023

3269

Katalogsynkronisering med kundens LDAP

CAPF-tjänst

TCP

Slutpunkt

Unified CM

Större än 1 023

3804

Capf-lyssningsport för certifikatutfärdarens proxyfunktion (CAPF) för att ge ut lokalt viktiga certifikat (LSC) till IP-telefoner

SIP

TCP

Slutpunkt

Unified CM och CUCxn

Större än 1 023

5060

Samtalssignalering

SIP

TCP

Unified CM

Unified CM, Gateway

Större än 1 023

5060

Samtalssignalering

SIP (SÄKERT)

TCP

Slutpunkt

Unified CM

Större än 1 023

5061

Samtalssignalering

SIP (SÄKERT)

TCP

Unified CM

Unified CM, Gateway

Större än 1 023

5061

Samtalssignalering

SIP (OAUTH)

TCP

Slutpunkt

Unified CM

Större än 1 023

5090

Samtalssignalering

XMPP

TCP

Jabber-klient

Cisco IM&P

Större än 1 023

5222

Snabbmeddelanden och närvaro

HTTP

TCP

Slutpunkt

Unified CM

Större än 1 023

6970

Hämtar konfiguration och bilder till slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Större än 1 023

6971

Hämtar konfiguration och bilder till slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Större än 1 023

6972

Hämtar konfiguration och bilder till slutpunkter

HTTP

TCP

Jabber-klient

CUCxn

Större än 1 023

7080

Aviseringar via röstbrevlåda

HTTPS

TCP

Jabber-klient

CUCxn

Större än 1 023

7443

Säkra aviseringar via röstbrevlåda

HTTPS

TCP

Unified CM

Unified CM

Större än 1 023

7501

Används av söktjänsten inomcluster (ILS) för certifikatbaserad autentisering

HTTPS

TCP

Unified CM

Unified CM

Större än 1 023

7502

Används av ILS för lösenordsbaserad autentisering

IMAP

TCP

Jabber-klient

CUCxn

Större än 1 023

7993

IMAP över TLS

HTTP

TCP

Slutpunkt

Unified CM

Större än 1 023

8080

Katalog-URI för stöd för äldre slutpunkter

HTTPS

TCP

Webbläsare, slutpunkt

UC-program

Större än 1 023

8443

Webbåtkomst för självhjälp och administrativa gränssnitt, UDS

HTTPS

TCP

Telefon

Unified CM

Större än 1 023

9443

Autentiserad kontaktsökning

HTTP-adresser

TCP

Slutpunkt

Unified CM

Större än 1 023

9444

Hanteringsfunktion för headset

Säker RTP/SRTP

UDP

Unified CM

Telefon

16384 till 32767 *

16384 till 32767 *

Media (ljud) – Musik on Hold, Annunciator, Software Conference Bridge (öppen baserad på samtalssignalering)

Säker RTP/SRTP

UDP

Telefon

Unified CM

16384 till 32767 *

16384 till 32767 *

Media (ljud) – Musik on Hold, Annunciator, Software Conference Bridge (öppen baserad på samtalssignalering)

Kopp (olika betydelser)

TCP

klient

CUCxn

Större än 1 023

20532

Säkerhetskopiera och återställ programsvit

ICMP

ICMP

Slutpunkt

UC-program

ej tillämpligt

ej tillämpligt

Ping

ICMP

ICMP

UC-program

Slutpunkt

ej tillämpligt

ej tillämpligt

Ping

DNS UDP och TCP

DNS-vidarebefordran

DNS-servrar för dedikerad instans

Större än 1 023

53

DNS-vidarebefordrare på kundens plats till DNS-servrar för dedikerad instans. Se DNS-krav för mer information.

* Vissa specialfall kan använda ett längre intervall.

Dedikerad instans – OTT-portar

Följande port kan användas av kunder och partner för inställning av MRA (Mobile and Remote Access):

Tabell 3. Port för OTT

Protocol

TCP/UCP

Source

Destination

Källport

Destinationsport

Syfte

SÄKER RTP/RTCP

UDP

Expressway C

Klient

Större än 1 023

36000-59999

Säker media för MRA- och B2B-samtal

Inter-op SIP-trunk mellan multiklient och dedikerad instans (endast för registreringsbaserad trunk)

Följande lista med portar måste tillåtas i kundens brandvägg för den registreringsbaserade SIP-trunken som ansluter mellan multiklientorganisationen och den dedikerade instansen.

Tabell 4. Port för registreringsbaserade trunkar

Protocol

TCP/UCP

Source

Destination

Källport

Destinationsport

Syfte

rtp/rtcp

UDP

Webex Calling för flera klienter

Klient

Större än 1 023

8000-48198

Media från Webex Calling-multiklient

Dedikerad instans – UCCX-portar

Följande lista över portar kan användas av kunder och partners för konfigurering av UCCX.

Tabell 5. Cisco UCCX-portar

Protocol

TCP/UCP

Source

Destination

Källport

Destinationsport

Syfte

Ssh

TCP

klient

UCCX

Större än 1 023

22

SFTP och SSH

Informix

TCP

Klient eller server

UCCX

Större än 1 023

1504

Databasport för Contact Center Express

SIP

UDP och TCP

SIP GW- eller MCRP-server

UCCX

Större än 1 023

5065

Kommunikation med fjärr-GW- och MCRP-noder

XMPP

TCP

klient

UCCX

Större än 1 023

5223

Säker XMPP-anslutning mellan Finesse-servern och anpassade tredjepartsprogram

Cvd

TCP

klient

UCCX

Större än 1 023

6999

Redigerare till CCX-program

HTTPS

TCP

klient

UCCX

Större än 1 023

7443

Säker BOSH-anslutning mellan Finesse-servern och agenten och övervakare för kommunikation via HTTPS

HTTP

TCP

klient

UCCX

Större än 1 023

8080

Klienter för rapportering av live-data ansluter till en socket.IO-server

HTTP

TCP

klient

UCCX

Större än 1 023

8081

Klientwebbläsare som försöker få åtkomst Cisco Unified-gränssnittet för Intelligence Center

HTTP

TCP

klient

UCCX

Större än 1 023

8443

Administratörs GUI, RTMT, DB-åtkomst över SOAP

HTTPS

TCP

klient

UCCX

Större än 1 023

8444

Cisco Unified Intelligence Center-webbgränssnittet

HTTPS

TCP

Webbläsar- och REST-klienter

UCCX

Större än 1 023

8445

Säker port för Finesse

HTTPS

TCP

klient

UCCX

Större än 1 023

8447

HTTPS – Onlinehjälp för Unified Intelligence Center

HTTPS

TCP

klient

UCCX

Större än 1 023

8553

Komponenter med enkel inloggning (SSO) får åtkomst till det här gränssnittet för att ta reda på driftstatusen för Cisco IdS.

HTTP

TCP

klient

UCCX

Större än 1 023

9080

Klienter som försöker få åtkomst till HTTP-utlösare eller dokument/uppmaningar/grammatiker/livedata.

HTTPS

TCP

klient

UCCX

Större än 1 023

9443

Säker port som används för att svara på klienter som försöker få åtkomst till HTTPS-utlösare

TCP

TCP

klient

UCCX

Större än 1 023

12014

Detta är porten där rapporteringsklienter med live-data kan ansluta till socket.IO-servern

TCP

TCP

klient

UCCX

Större än 1 023

12015

Detta är porten där rapporteringsklienter med live-data kan ansluta till socket.IO-servern

Cti

TCP

klient

UCCX

Större än 1 023

12028

CTI-klient från tredje part till CCX

RTP (Media)

TCP

Slutpunkt

UCCX

Större än 1 023

Större än 1 023

Mediaporten öppnas dynamiskt efter behov

RTP (Media)

TCP

klient

Slutpunkt

Större än 1 023

Större än 1 023

Mediaporten öppnas dynamiskt efter behov

Klientsäkerhet

Säkra Jabber och Webex med SIP OAuth

Jabber- och Webex-klienter verifieras via en OAuth-token istället för ett lokalt betydande certifikat (LSC), som inte kräver certifikatutfärdarens proxyfunktion (CAPF) -aktiveras (även för MRA). SIP OAuth som arbetar med eller utan blandat läge introduceras i Cisco Unified CM 12.5(1), Jabber 12.5 och Expressway X12.5.

I Cisco Unified CM 12.5 har vi ett nytt alternativ i telefonsäkerhetsprofilen som aktiverar kryptering utan LSC/CAPF med enkel Transport Layer Security (TLS) + OAuth-token i SIP REGISTER. Expressway-C-noder använder DEN administrativa XML-webbtjänstens API (AXL) för att informera Cisco Unified CM för SN/SAN i certifikatet. Cisco Unified CM använder denna information för att validera Exp-C-certifikatet när en ömsesidig TLS anslutningen.

SIP OAuth aktiverar medie- och signaleringskryptering utan ett slutpunktscertifikat (LSC).

Cisco Jabber använder Ephemeral-portar och säkra portar 6971- och 6972-portar via HTTPS-anslutning till TFTP-servern för att hämta konfigurationsfilerna. Port 6970 är en port som inte är säker för hämtning via HTTP.

Mer information om SIP OAuth-konfiguration: SIP OAuth-läge.

DNS-krav

För dedikerad instans tillhandahåller Cisco FQDN för tjänsten i varje region i följande format ..wxc-di.webex.com till exempel xyz.amer.wxc-di.webex.com.

Värdet "kund" tillhandahålls av administratören som en del av installationsguiden för första gången (FTSW). Mer information finns i Aktivering av dedikerad instanstjänst.

DNS-poster för FQDN måste kunna åtgärdas från kundens interna DNS-server för att stödja lokala enheter som ansluter till den dedikerade instansen. För att underlätta upplösning måste kunden konfigurera en villkorad vidarebefordrare för denna FQDN på sin DNS-server och peka på DNS-tjänsten för dedikerad instans. DNS-tjänsten för dedikerad instans är regional och kan nås via peering till dedikerad instans med följande IP-adresser enligt nedanstående tabell IP-adress för dedikerad instans.

Tabell 6. Dedikerade INSTANS DNS-tjänstens IP-adress

Region/DC

Dedikerade INSTANS DNS-tjänstens IP-adress

Exempel på villkorad vidarebefordran

AMER

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

Europa, Mellanöstern och Afrika

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

från

178.215.131.100

Ams

178.215.131.228

Asien och Stillahavsområdet samt Japan och Kina

<customer>.apjc.wxc-di.webex.com

Synd

103.232.71.100

tky

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

SYD

178.215.128.228

Storbritannien

<customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

man

178.215.135.228

Ping-alternativet är av säkerhetsskäl inaktiverat för ovanstående omnämnda DNS-server-IP-adresser.

Innan den villkorade vidarebefordran är på plats kommer enheterna inte att kunna registrera sig till den dedikerade instansen från kundens interna nätverk via peering-länkarna. Villkorad vidarebefordran krävs inte för registrering via mobil och Remote Access (MRA) eftersom alla nödvändiga externa DNS-register för att underlätta MRA kommer att etableras av Cisco.

När du använder Webex-programmet som din samtalsklient för dedikerad instans måste en UC Manager-profil konfigureras i Control Hub för varje regions rösttjänstdomän (VSD). Mer information finns i UC Manager-profiler i Cisco Webex Control Hub. Webex-programmet kommer automatiskt att kunna lösa kundens problem med Edge Expressway utan några åtgärder från slutanvändare.

Rösttjänstdomänen kommer att tillhandahållas kunden som en del av partneråtkomstdokumentet när tjänsteaktiveringen är slutförd.

Använd en lokal router för telefonens DNS-upplösning

För telefoner som inte har åtkomst till företagets DNS-servrar är det möjligt att använda en lokal Cisco-router för att vidarebefordra DNS-förfrågningar till molnet DNS för dedikerad instans. Detta tar bort behovet av att distribuera en lokal DNS-server och ger fullständig DNS-support inklusive cachelagring.

Exempel på konfiguration :

!

ip-dns-server

ip-namnserver

!

DNS-användningen i den här distributionsmodellen är specifik för telefoner och kan endast användas för att lösa FQDN:er med domänen från kundens dedikerade instans.

DNS-upplösning för telefon