Tahsis Edilmiş Örnek için Ağ Gereksinimleri

Webex Calling Dedicated Instance, Cisco Unified Communications Manager (Cisco Unified CM ) işbirliği teknolojisi tarafından desteklenen Cisco Bulut Çağrısı portföyünün bir parçasıdır. Tahsis Edilmiş Eşgörünüm, Tahsis Edilmiş Eşgörünüm'e güvenli bir şekilde bağlanan Cisco IP telefonları, mobil cihazlar ve masaüstü istemcilerinin özellikleri ve avantajları ile ses, video, mesajlaşma ve mobilite çözümleri sunar.

Bu makale ağ yöneticilerine, özellikle de kendi kuruluşlarında Tahsis Edilmiş Örnek kullanmak isteyen güvenlik duvarı ve proxy güvenlik yöneticilerine yöneliktir.

Güvenliğe Genel Bakış: Katmanlarda Güvenlik

Özel Örnek güvenlik için katmanlı bir yaklaşım kullanır. Katmanlar şunları içerir:

  • Fiziksel erişim

  • Uç Noktalar

  • UC uygulamaları

Aşağıdaki bölümlerde güvenlik katmanları açıklanmaktadır. Özel Örnek dağıtımlar.

Fiziksel Güvenlik

Equinix Meet-Me Room konumlarına ve Cisco fiziksel güvenlik sağlamak önemlidir Özel Örnek Veri Merkezi tesisleri. Fiziksel güvenlik tehlikeye girdiğinde, müşterinin anahtarlarına giden gücü kapatarak hizmet kesintisi gibi basit saldırılar başlatılabilir. Fiziksel erişim ile saldırganlar sunucu cihazlarına erişebilir, parolaları sıfırlayabilir ve anahtarlara erişim sağlayabilir. Fiziksel erişim ayrıca ortadaki adam saldırıları gibi daha karmaşık saldırıları da kolaylaştırır, bu nedenle ikinci güvenlik katmanı olan ağ güvenliği kritiktir.

Kendiliğinden Şifrelemeli sürücüler şu alanlarda kullanılır: Özel Örnek UC uygulamalarını barındıran Veri Merkezleri.

Genel güvenlik uygulamaları hakkında daha fazla bilgi için aşağıdaki konumdaki belgelere bakın: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Ağ Güvenliği

Ortakların, tüm ağ öğelerinin güvenli olduğundan emin olmaları gerekir. Özel Örnek altyapı (Equinix üzerinden bağlanır). Aşağıdakiler gibi en iyi yöntemler sağlamak iş ortağının sorumluluğundadır:

  • Ses ve veri için ayrı VLAN

  • CAM tablosu taşmasına karşı bağlantı noktası başına izin verilen MAC adresi sayısını sınırlayan Bağlantı Noktası Güvenliğini Etkinleştir

  • Sahte IP adreslerine karşı IP Kaynak Koruması

  • Dinamik ARP Denetimi (DAI), ihlaller (ARP sahtekarlığına karşı) için adres çözümleme protokolünü (ARP) ve karşılıksız ARP'yi (GARP) inceler

  • 802.1x atanan VLAN'larda cihazların kimliğini doğrulamak için ağ erişimini sınırlar (telefonlar 802'yi destekler.1x )

  • Ses paketlerinin uygun şekilde işaretlenmesi için hizmet kalitesi (QoS) yapılandırması

  • Diğer trafiği engellemek için güvenlik duvarı bağlantı noktası yapılandırmaları

Uç Nokta Güvenliği

Cisco uç noktaları, uç noktalar için belirli bir güvenlik düzeyi sağlayan imzalı ürün yazılımı, güvenli önyükleme (seçilen modeller), üretici tarafından yüklenen sertifika (MIC) ve imzalı yapılandırma dosyaları gibi varsayılan güvenlik özelliklerini destekler.

Ayrıca, bir iş ortağı veya müşteri, aşağıdakiler gibi ek güvenlik sağlayabilir:

  • Extension Mobility gibi hizmetler için IP telefonu hizmetlerini (HTTPS aracılığıyla) şifreleyin

  • sertifika yetkilisi proxy işlevi (CAPF) veya bir genel sertifika yetkilisinden (CA) yerel olarak önemli sertifikalar (LSC'ler) yayınlayın

  • Yapılandırma dosyalarını şifreleyin

  • Medya ve sinyallemeyi şifreleyin

  • Kullanılmıyorlarsa bu ayarları devre dışı bırakın: bilgisayar bağlantı noktası, bilgisayar Sesli VLAN Erişimi, Ücretsiz ARP, Web Erişimi, Ayarlar düğmesi, SSH, konsol

Güvenlik mekanizmalarını uygulamada Özel Örnek telefonların ve Unified CM sunucusu kimlik hırsızlığını, verilerin kurcalanmasını ve çağrı sinyali / medya akışı kurcalanmasını önler.

Özel Örnek ağ üzerinden:

  • Kimliği doğrulanmış iletişim akışlarını kurar ve sürdürür

  • Dosyayı telefona aktarmadan önce dosyaları dijital olarak imzalar

  • Cisco Unified IP telefonları arasındaki medya akışlarını ve çağrı sinyallerini şifreler

Varsayılan Güvenlik Kurulumu

Varsayılan olarak güvenlik, Cisco Unified IP telefonları için aşağıdaki otomatik güvenlik özelliklerini sağlar:

  • telefon yapılandırması dosyalarının imzalanması

  • telefon yapılandırması dosyası şifreleme desteği

  • Tomcat ve diğer Web servisleri (MIDlet) ile HTTPS

Daha sonraki Unified CM Sürüm 8.0 için, bu güvenlik özellikleri, Sertifika Güven Listesi (CTL) istemcisi çalıştırılmadan varsayılan olarak sağlanır.

Güven Doğrulama Hizmeti

Bir ağda çok sayıda telefon olduğundan ve IP telefonlarının belleği sınırlı olduğundan, Cisco Unified CM , Güven Doğrulama Hizmeti (TVS) aracılığıyla bir uzak güven deposu görevi görür, böylece her telefona bir sertifika güven deposu yerleştirilmesi gerekmez. Cisco IP telefonları, CTL veya ITL dosyaları aracılığıyla bir imzayı veya sertifikayı doğrulayamadıkları için doğrulama için TVS sunucusuyla iletişim kurar. Merkezi bir güven deposuna sahip olmak, her bir Cisco Unified IP telefonu güven deposuna sahip olmaktan daha kolaydır.

TVS , Cisco Unified IP telefonlarının HTTPS kurulumu sırasında EM hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimliğini doğrulamasını sağlar.

İlk Güven Listesi

İlk güvenlik için İlk Güven Listesi (ITL) dosyası kullanılır, böylece uç noktalar Cisco Unified CM güvenebilir. ITL'nin açıkça etkinleştirilmesi için herhangi bir güvenlik özelliğine ihtiyacı yoktur. ITL dosyası, küme kurulduğunda otomatik olarak oluşturulur. Unified CM Trivial File Transfer Protocol (TFTP) sunucusunun özel anahtarı, ITL dosyasını imzalamak için kullanılır.

Cisco Unified CM kümesi veya sunucusu güvenli mod, ITL dosyası desteklenen her Cisco IP telefonu indirilir. Bir ortak, CLI komutu kullanarak bir ITL dosyasının içeriğini görüntüleyebilir, admin:show itl.

Cisco IP telefonları, aşağıdaki görevleri gerçekleştirmek için ITL dosyasına ihtiyaç duyar:

  • yapılandırma dosyası şifrelemesini desteklemenin bir ön koşulu olan CAPF ile güvenli bir şekilde iletişim kurun

  • yapılandırma dosyası imzasını doğrulayın

  • TVS kullanarak HTTPS kurulumu sırasında EM hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimliğini doğrulayın

Cisco CTL

Cihaz, dosya ve sinyal kimlik doğrulaması, iş ortağı veya müşteri Cisco Sertifika Güven Listesi İstemcisini kurup yapılandırdığında oluşturulan Sertifika Güven Listesi ( CTL ) dosyasının oluşturulmasına dayanır.

CTL dosyası , aşağıdaki sunucular veya güvenlik belirteçleri için girişler içerir:

  • Sistem Yöneticisi Güvenlik Simgesi (SAST)

  • Aynı sunucu üzerinde çalışan Cisco CallManager ve Cisco TFTP hizmetleri

  • Sertifika Yetkilisi Proxy İşlevi (CAPF)

  • TFTP sunucuları

  • ASA güvenlik duvarı

CTL dosyası , her sunucu için bir sunucu sertifikası, genel anahtar, seri numarası, imza, yayıncı adı, konu adı, sunucu işlevi, DNS adı ve IP adresi içerir.

CTL ile telefon güvenliği aşağıdaki işlevleri sağlar:

  • Bir imzalama anahtarı kullanarak indirilen TFTP dosyalarının (yapılandırma, yerel ayar, çalma listesi vb.) doğrulanması

  • Bir imzalama anahtarı kullanarak TFTP yapılandırma dosyalarının şifrelenmesi

  • IP telefonlar için şifreli çağrı sinyali

  • IP telefonlar için şifreli arama sesi (medya)

Cisco IP Telefonları için Güvenlik Özel Örnek

Özel Örnek uç nokta kaydı ve çağrı işleme sağlar. Cisco Unified CM ve uç noktalar arasındaki sinyalleşme, Secure İnce İstemci Denetim Protokolü (SCCP) veya Oturum Başlatma Protokolü (SIP) dayanır ve Taşıma Katmanı Güvenliği (TLS) kullanılarak şifrelenebilir. Uç noktalardan/noktalara giden medya, Gerçek Zamanlı Aktarım Protokolüne (RTP) dayanır ve ayrıca Güvenli RTP (SRTP) kullanılarak şifrelenebilir.

Unified CM CM'de karma modun etkinleştirilmesi, Cisco uç noktalarından gelen ve giden sinyalleşme ve medya trafiği şifrelenmesini sağlar.

Güvenli UC Uygulamaları

içinde Karışık Modu Etkinleştirme Özel Örnek

Karışık mod varsayılan olarak varsayılan olarak etkin Özel Örnek .

Karışık modu etkinleştirme Özel Örnek Cisco uç noktalarından gelen ve giden sinyalleşme ve medya trafiği şifrelenmesini sağlar.

Cisco Unified CM 12.5(1) sürümünde, Jabber ve Webex istemcileri için sinyal ve medyanın karma mod / CTL yerine SIP OAuth'a dayalı olarak şifrelenmesini sağlayan yeni bir seçenek eklendi. Bu nedenle, Unified CM 12.5(1) sürümünde, SIP OAuth ve SRTP , Jabber veya Webex istemcileri için sinyal ve medya için şifrelemeyi etkinleştirmek için kullanılabilir. Şu anda Cisco IP telefonları ve diğer Cisco uç noktaları için karma modun etkinleştirilmesi gerekli olmaya devam etmektedir. Gelecekteki bir sürümde 7800/8800 uç noktalarında SIP OAuth desteği ekleme planı vardır.

Sesli Mesajlaşma Güvenliği

Cisco Unity Connection , TLS bağlantı noktası aracılığıyla Unified CM bağlanır. Cihaz güvenlik modu güvenli olmadığında, Cisco Unity Connection , SCCP bağlantı noktası aracılığıyla Unified CM bağlanır.

Unified CM sesli mesaj bağlantı noktaları ve SCCP çalıştıran Cisco Unity cihazları veya SCCP çalıştıran Cisco Unity Connection cihazları için güvenliği yapılandırmak üzere bir iş ortağı, bağlantı noktası için güvenli bir cihaz güvenlik modu seçebilir. Kimliği doğrulanmış bir sesli posta bağlantı noktası seçerseniz, karşılıklı sertifika alışverişi kullanarak cihazların kimliğini doğrulayan bir TLS bağlantısı açılır (her cihaz diğer cihazın sertifikasını kabul eder). Şifreli bir sesli posta bağlantı noktası seçerseniz, sistem önce cihazların kimliğini doğrular ve ardından cihazlar arasında şifreli ses akışları gönderir.

Güvenlik Sesli mesajlaşma bağlantı noktaları hakkında daha fazla bilgi için, bkz. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

SRST, Trunks, Gateway'ler, CUBE/SBC için Güvenlik

Cisco Unified Survivable Remote Site Telephony (SRST) etkinleştirilmiş ağ geçidi, Cisco Unified CM açıksa sınırlı çağrı işleme görevleri sağlar. Özel Örnek aramayı tamamlayamaz.

Güvenli SRST etkin ağ geçitleri, kendinden imzalı sertifika içerir. Bir iş ortağı, Unified CM Yönetimi SRST yapılandırma görevlerini gerçekleştirdikten sonra, Unified CM , SRST özellikli ağ geçidi Sertifika Sağlayıcı hizmetiyle kimlik doğrulaması yapmak için bir TLS bağlantısı kullanır. Unified CM daha sonra sertifikayı SRST özellikli ağ geçidi alır ve sertifikayı Unified CM veritabanına ekler.

İş ortağı, Unified CM Yönetimi bağımlı cihazları sıfırladıktan sonra TFTP sunucusu, SRST özellikli ağ geçidi sertifikasını telefonun cnf.xml dosyasına ekler ve dosyayı telefona gönderir. Güvenli bir telefon daha sonra SRST özellikli ağ geçidi etkileşim kurmak için bir TLS bağlantısı kullanır.

Giden PSTN çağrıları veya Cisco Unified Border Element (CUBE) üzerinden geçiş için Cisco Cisco Unified CM CM'den ağ geçidine yapılan çağrı için güvenli dış hatlara sahip olunması önerilir.

SIP hatları, hem sinyalizasyon hem de medya için güvenli aramaları destekleyebilir; TLS , sinyal şifrelemesi sağlar ve SRTP , medya şifrelemesi sağlar.

Cisco Unified CM ve CUBE Arasındaki İletişimin Güvenliğini Sağlama

Cisco Unified CM ve CUBE arasında güvenli iletişim için iş ortaklarının/müşterilerinin kendinden imzalı sertifika veya CA imzalı sertifikalar kullanması gerekir.

Kendinden imzalı sertifikalar için:

  1. CUBE ve Cisco Unified CM , kendinden imzalı sertifikalar oluşturur

  2. CUBE, sertifikayı Cisco Unified CM aktarır

  3. Cisco Unified CM , sertifikayı CUBE'a aktarır

CA imzalı sertifikalar için:

  1. Müşteri bir anahtar çifti oluşturur ve Sertifika Yetkilisi (CA) bir Sertifika İmzalama İsteği ( CSR ) gönderir

  2. CA, bunu kendi özel anahtarıyla imzalayarak bir Kimlik Sertifikası oluşturur.

  3. İstemci, güvenilir CA Kök ve Aracı Sertifikaları ve Kimlik Sertifikası listesini yükler

Uzak Uç Noktalar için Güvenlik

Mobil ve Uzaktan Erişim (MRA) uç noktaları ile sinyalleşme ve medya, MRA uç noktaları ve Expressway düğümleri arasında her zaman şifrelenir. MRA uç noktaları için Etkileşimli Bağlantı Kuruluşu (ICE) protokolü kullanılıyorsa, MRA uç noktalarının sinyalleşmesi ve medya şifrelemesi gerekir. Ancak, Expressway-C ile dahili Unified CM sunucuları, dahili uç noktalar veya diğer dahili cihazlar arasındaki sinyalleşme ve medyanın şifrelenmesi, karma mod veya SIP OAuth gerektirir.

Cisco Expressway , Unified CM kayıtları için güvenli güvenlik duvarı geçişi ve hat tarafı desteği sağlar. Unified CM , hem mobil hem de şirket tesiste uç noktalar için çağrı kontrolü sağlar. Sinyalleme, uzak uç nokta ile Unified CM arasında Expressway çözümünden geçer. Medya, Expressway çözümünden geçer ve uç noktalar arasında doğrudan iletilir. Tüm ortamlar, Expressway-C ile mobil uç nokta arasında şifrelenir.

Herhangi bir MRA çözümü, MRA uyumlu yumuşak istemciler ve/veya sabit uç noktalar ile Expressway ve Unified CM gerektirir. Çözüm, isteğe bağlı olarak IM ve İletişim Durumu Hizmeti ile Unity Bağlantısını içerebilir.

Protokol Özeti

Aşağıdaki tablo, Unified CM çözümünde kullanılan protokolleri ve ilgili hizmetleri gösterir.

Tablo 1. Protokoller ve ilgili hizmetler

Protokol

Güvenlik

Hizmet

SIP

TLS

Oturum Kurulumu: Kaydolun, Davet Edin vb.

HTTPS

TLS

Oturum Açma, Sağlama/Yapılandırma, Dizin, Görsel Sesli Posta

Ortam

SRTP

medya: Ses, Video, İçerik Paylaşımı

XMPP

TLS

Anında Mesajlaşma, Durum, Federasyon

MRA yapılandırması hakkında daha fazla bilgi için bkz. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Yapılandırma Seçenekleri

bu Özel Örnek İş Ortağına, ikinci gün yapılandırmalarının tam denetimi yoluyla hizmetleri son kullanıcılar için özelleştirme esnekliği sağlar. Sonuç olarak, İş Ortağı, aşağıdakilerin uygun şekilde yapılandırılmasından yalnızca sorumludur. Özel Örnek son kullanıcının ortamı için hizmet. Bu, aşağıdakileri içerir, ancak bunlarla sınırlı değildir:

  • Güvenli/güvensiz aramaları, SIP/sSIP, http/https vb. gibi güvenli/güvenli olmayan protokolleri seçmek ve ilgili riskleri anlamak.

  • Güvenli SIP olarak yapılandırılmamış tüm MAC adresleri için Özel Örnek , bir saldırgan bu MAC adresi kullanarak SIP Kayıt mesajı gönderebilir ve SIP aramaları yapabilir, bu da ücretli dolandırıcılık ile sonuçlanır. Ön koşul, saldırganın SIP cihazı/yazılımını Özel Örnek kayıtlı bir cihazın MAC adresi biliyorlarsa izinsiz Özel Örnek .

  • Otoyol-E çağrı ilkeleri, dönüştürme ve arama kuralları, ücretli dolandırıcılığı önlemek için yapılandırılmalıdır. Ekspres Yolları kullanarak ücretli dolandırıcılığı önleme hakkında daha fazla bilgi için, Ekspres Yolu C Güvenliği ve Ekspres Yolu-E bölümüne bakın. İşbirliği SRND .

  • Kullanıcıların yalnızca izin verilen hedefleri aramasını sağlamak için arama planı yapılandırması, örneğin ulusal/uluslararası aramanın yasaklanması, acil aramaların doğru şekilde yönlendirilmesi vb. Arama planı kullanılarak kısıtlamaların uygulanması hakkında daha fazla bilgi için bkz. Arama Planı İşbirliği SRND bölümü.

Tahsis Edilmiş Eşgörünümde Güvenli Bağlantılar İçin Sertifika Gereksinimleri

Adanmış Örnek için Cisco , etki alanını sağlayacak ve genel bir Sertifika Yetkilisi (CA) kullanarak UC Uygulamaları için tüm sertifikaları imzalayacaktır.

Adanmış Örnek – Bağlantı Noktası Numaraları ve Protokoller

Aşağıdaki tablolar, Tahsis Edilmiş Eşgörünümde desteklenen bağlantı noktalarını ve protokolleri açıklar. Belirli bir müşteri için kullanılan bağlantı noktaları, Müşterinin dağıtımına ve çözümüne bağlıdır. Protokoller, müşterinin tercihine (SCCP karşı SIP), mevcut şirket tesiste cihazlara ve her dağıtımda hangi bağlantı noktalarının kullanılacağını belirlemek için hangi güvenlik düzeyine bağlıdır.

Adanmış Örnek, çağrı akışı özelliklerinden bazıları, örneğin çağrı arası özelliği çalışmadığından, uç noktalar ve Unified CM arasında Ağ Adresi Çevirisine (NAT) izin vermez.

Adanmış Örnek – Müşteri Bağlantı Noktaları

Müşteriler için mevcut bağlantı noktaları - Şirket tesiste ile Tahsis Edilmiş Eşgörünüm arasındaki Tablo 1'de gösterilmektedir. Adanmış Örnek Müşteri Bağlantı Noktaları . Aşağıda listelenen tüm bağlantı noktaları, eşleme bağlantılarını geçen müşteri trafiği içindir.

SNMP bağlantı noktası yalnızca CER işlevi için desteklenir ve diğer üçüncü taraf izleme araçları için desteklenmez.

5063 ila 5080 aralığındaki bağlantı noktaları Cisco tarafından diğer bulut entegrasyonları için ayrılmıştır, iş ortağı veya müşteri yöneticilerinin bu bağlantı noktalarını yapılandırmalarında kullanmamaları önerilir.
Tablo 2. Özel Örnek Müşteri Limanları

Protokol

TCP/UCP

Source

Hedef

Kaynak Bağlantı Noktası

Hedef Bağlantı Noktası

Amaç

SSH

TCP

müşteri

UC uygulamaları

1023'ten büyük

22

Yönetim

TFTP

UDP

Uç Noktası

Unified CM

1023'ten büyük

69

Eski Uç Nokta Desteği

LDAP

TCP

UC uygulamaları

Harici Dizin

1023'ten büyük

389

Müşteri LDAP dizin senkronizasyonu

HTTPS

TCP

tarayıcı

UC uygulamaları

1023'ten büyük

443

Kişisel bakım ve yönetim arayüzleri için Web erişimi

Giden Posta (GÜVENLİ)

TCP

UC Uygulaması

CUCxn

1023'ten büyük

587

Belirlenen herhangi bir alıcıya güvenli mesajlar oluşturmak ve göndermek için kullanılır

LDAP (GÜVENLİ)

TCP

UC uygulamaları

Harici Dizin

1023'ten büyük

636

Müşteri LDAP dizin senkronizasyonu

H323

TCP

ağ geçidi

Unified CM

1023'ten büyük

1720

Çağrı sinyali

H323

TCP

Unified CM

Unified CM

1023'ten büyük

1720

Çağrı sinyali

SCCP

TCP

Uç Noktası

Unified CM, CUCxn

1023'ten büyük

2000

Çağrı sinyali

SCCP

TCP

Unified CM

Unified CM, Ağ Geçidi

1023'ten büyük

2000

Çağrı sinyali

MGCP

UDP

ağ geçidi

ağ geçidi

1023'ten büyük

2427

Çağrı sinyali

MGCP Karayolu

TCP

ağ geçidi

Unified CM

1023'ten büyük

2428

Çağrı sinyali

SCCP (GÜVENLİ)

TCP

Uç Noktası

Unified CM, CUCxn

1023'ten büyük

2443

Çağrı sinyali

SCCP (GÜVENLİ)

TCP

Unified CM

Unified CM, Ağ Geçidi

1023'ten büyük

2443

Çağrı sinyali

Güven Doğrulaması

TCP

Uç Noktası

Unified CM

1023'ten büyük

2445

Uç noktalara güven doğrulama hizmeti sağlama

CTI

TCP

Uç Noktası

Unified CM

1023'ten büyük

2748

CTI uygulamaları (JTAPI/TSP) ve CTIManager arasındaki bağlantı

Güvenli CTI

TCP

Uç Noktası

Unified CM

1023'ten büyük

2749

CTI uygulamaları (JTAPI/TSP) ve CTIManager arasında güvenli bağlantı

LDAP Genel Kataloğu

TCP

UC Uygulamaları

Harici Dizin

1023'ten büyük

3268

Müşteri LDAP dizin senkronizasyonu

LDAP Genel Kataloğu

TCP

UC Uygulamaları

Harici Dizin

1023'ten büyük

3269

Müşteri LDAP dizin senkronizasyonu

CAPF Hizmeti

TCP

Uç Noktası

Unified CM

1023'ten büyük

3804

IP telefonlarına Yerel Olarak Önemli Sertifikalar ( LSC ) vermek için Sertifika Yetkilisi Proxy İşlevi (CAPF ) dinleme bağlantı noktası

SIP

TCP

Uç Noktası

Unified CM, CUCxn

1023'ten büyük

5060

Çağrı sinyali

SIP

TCP

Unified CM

Unified CM, Ağ Geçidi

1023'ten büyük

5060

Çağrı sinyali

SIP (GÜVENLİ)

TCP

Uç Noktası

Unified CM

1023'ten büyük

5061

Çağrı sinyali

SIP (GÜVENLİ)

TCP

Unified CM

Unified CM, Ağ Geçidi

1023'ten büyük

5061

Çağrı sinyali

SIP (OAUTH)

TCP

Uç Noktası

Unified CM

1023'ten büyük

5090

Çağrı sinyali

XMPP

TCP

Jabber İstemcisi

Cisco IM&P

1023'ten büyük

5222

Anında Mesajlaşma ve Durum

HTTP

TCP

Uç Noktası

Unified CM

1023'ten büyük

6970

Konfigürasyonu ve görüntüleri uç noktalara indirme

HTTPS

TCP

Uç Noktası

Unified CM

1023'ten büyük

6971

Konfigürasyonu ve görüntüleri uç noktalara indirme

HTTPS

TCP

Uç Noktası

Unified CM

1023'ten büyük

6972

Konfigürasyonu ve görüntüleri uç noktalara indirme

HTTP

TCP

Jabber İstemcisi

CUCxn

1023'ten büyük

7080

Sesli mesaj bildirimleri

HTTPS

TCP

Jabber İstemcisi

CUCxn

1023'ten büyük

7443

Güvenli sesli mesaj bildirimleri

HTTPS

TCP

Unified CM

Unified CM

1023'ten büyük

7501

Sertifika tabanlı kimlik doğrulama için Kümeler Arası Arama Hizmeti (ILS) tarafından kullanılır

HTTPS

TCP

Unified CM

Unified CM

1023'ten büyük

7502

ILS tarafından parola tabanlı kimlik doğrulama için kullanılır

IMAP

TCP

Jabber İstemcisi

CUCxn

1023'ten büyük

7993

TLS üzerinden IMAP

HTTP

TCP

Uç Noktası

Unified CM

1023'ten büyük

8080

Eski Uç Nokta Desteği için Dizin URI

HTTPS

TCP

Tarayıcı, Uç Nokta

UC uygulamaları

1023'ten büyük

8443

Kişisel bakım ve yönetim arayüzleri için Web erişimi, UDS

HTTPS

TCP

Telefon

Unified CM

1023'ten büyük

9443

Kimliği doğrulanmış kişi arama

HTTP'ler

TCP

Uç Noktası

Unified CM

1023'ten büyük

9444

Kulaklık Yönetim Özelliği

Güvenli RTP/ SRTP

UDP

Unified CM

Telefon

16384 - 32767 *

16384 - 32767 *

Medya (ses) - Bekletme Müziği, Anons cihazı, Yazılım Konferans Köprüsü (Arama sinyaline göre açılır)

Güvenli RTP/ SRTP

UDP

Telefon

Unified CM

16384 - 32767 *

16384 - 32767 *

Medya (ses) - Bekletme Müziği, Anons cihazı, Yazılım Konferans Köprüsü (Arama sinyaline göre açılır)

KOBRALAR

TCP

müşteri

CUCxn

1023'ten büyük

20532

Uygulama Paketini Yedekle ve Geri Yükle

ICMP

ICMP

Uç Noktası

UC uygulamaları

yok

yok

Ping

ICMP

ICMP

UC uygulamaları

Uç Noktası

yok

yok

Ping

* Bazı özel durumlar daha geniş bir aralık kullanabilir.

Adanmış Örnek – OTT Bağlantı Noktaları

Aşağıdaki bağlantı noktası, Mobil ve Uzaktan Erişim (MRA) kurulumu için Müşteriler ve İş Ortakları tarafından kullanılabilir:

Tablo 3. OTT için bağlantı noktası

Protokol

TCP/UCP

Source

Hedef

Kaynak Bağlantı Noktası

Hedef Bağlantı Noktası

Amaç

GÜVENLİ RTP/ RTCP

UDP

Otoyol C

müşteri

1023'ten büyük

36000-59999

MRA ve B2B aramaları için Güvenli Medya

Adanmış Örnek – UCCX Bağlantı Noktaları

Aşağıdaki bağlantı noktası listesi, Müşteriler ve İş Ortakları tarafından UCCX'i yapılandırmak için kullanılabilir.

Tablo 4. Cisco UCCX bağlantı noktaları

Protokol

TCP / UCP

Source

Hedef

Kaynak Bağlantı Noktası

Hedef Bağlantı Noktası

Amaç

SSH

TCP

müşteri

UCCX

1023'ten büyük

22

SFTP ve SSH

Informix

TCP

İstemci veya Sunucu

UCCX

1023'ten büyük

1504

Unified CCX veritabanı bağlantı noktası

SIP

UDP ve TCP

SIP GW veya MCRP sunucusu

UCCX

1023'ten büyük

5065

Uzak GW ve MCRP düğümleriyle iletişim

XMPP

TCP

müşteri

UCCX

1023'ten büyük

5223

 Finesse sunucusu ve özel üçüncü taraf uygulamaları arasında güvenli XMPP bağlantısı

özgeçmiş

TCP

müşteri

UCCX

1023'ten büyük

6999

Editörden CCX uygulamalarına

HTTPS

TCP

müşteri

UCCX

1023'ten büyük

7443

HTTPS üzerinden iletişim için Finesse sunucusu ile aracı ve gözetmen masaüstleri arasında güvenli BOSH bağlantısı

HTTP

TCP

müşteri

UCCX

1023'ten büyük

8080

Canlı veri raporlama istemcileri socket.IO sunucusuna bağlanır

HTTP

TCP

müşteri

UCCX

1023'ten büyük

8081

Cisco Unified Intelligence Center web arabirimi erişmeye çalışan istemci tarayıcısı

HTTP

TCP

müşteri

UCCX

1023'ten büyük

8443

SOAP üzerinden Admin GUI, RTCP , DB erişimi

HTTPS

TCP

müşteri

UCCX

1023'ten büyük

8444

Cisco Unified Intelligence Center web arabirimi

HTTPS

TCP

Tarayıcı ve REST istemcileri

UCCX

1023'ten büyük

8445

Finesse için güvenli bağlantı noktası

HTTPS

TCP

müşteri

UCCX

1023'ten büyük

8447

HTTPS - Unified Intelligence Center çevrimiçi yardımı

HTTPS

TCP

müşteri

UCCX

1023'ten büyük

8553

Tek Oturum Açma (SSO) bileşenleri, Cisco IdS'nin çalışma durumunu öğrenmek için bu arayüze erişir.

HTTP

TCP

müşteri

UCCX

1023'ten büyük

9080

HTTP tetikleyicilerine veya belgelere / istemlere / gramerlere / canlı veri erişmeye çalışan istemciler .

HTTPS

TCP

müşteri

UCCX

1023'ten büyük

9443

HTTPS tetikleyicilerine erişmeye çalışan istemcilere yanıt vermek için kullanılan güvenli bağlantı noktası

TCP

TCP

müşteri

UCCX

1023'ten büyük

12014

Bu, canlı veri raporlama istemcilerinin socket.IO sunucusuna bağlanabileceği bağlantı noktasıdır.

TCP

TCP

müşteri

UCCX

1023'ten büyük

12015

Bu, canlı veri raporlama istemcilerinin socket.IO sunucusuna bağlanabileceği bağlantı noktasıdır.

CTI

TCP

müşteri

UCCX

1023'ten büyük

12028

CCX'e üçüncü taraf CTI istemcisi

RTP(Medya)

TCP

Uç Noktası

UCCX

1023'ten büyük

1023'ten büyük

Medya bağlantı noktası gerektiğinde dinamik olarak açılır

RTP(Medya)

TCP

müşteri

Uç Noktası

1023'ten büyük

1023'ten büyük

Medya bağlantı noktası gerektiğinde dinamik olarak açılır

Müşteri Güvenliği

SIP OAuth ile Jabber ve Webex güvenliğini sağlama

Jabber ve Webex istemcilerinin kimliği, yerel önemli sertifika (LSC) yerine bir OAuth belirteci aracılığıyla doğrulanır; bu sertifika yetkilisi proxy işlevi (CAPF) etkinleştirmesini (MRA için de) gerektirmez. Karma modla veya karma mod olmadan çalışan SIP OAuth, Cisco Unified CM 12.5(1), Jabber 12.5 ve Expressway X12.5'te tanıtıldı.

Cisco Unified CM 12.5'te, SIP REGISTER'da tek Taşıma Katmanı Güvenliği (TLS ) + OAuth belirteci kullanarak LSC/ CAPF olmadan şifrelemeyi sağlayan Telefon Güvenlik Profili'nde yeni bir seçeneğimiz var. Expressway-C düğümleri, Cisco Unified CM sertifikalarında SN/SAN hakkında bilgilendirmek için Yönetimsel XML Web Hizmeti (AXL) API kullanır. Cisco Unified CM , karşılıklı bir TLS bağlantısı kurarken Exp-C sertifikasını doğrulamak için bu bilgileri kullanır.

SIP OAuth, bir uç nokta sertifikası (LSC) olmadan medya ve sinyal şifrelemesine olanak tanır.

Cisco Jabber , yapılandırma dosyalarını indirmek için TFTP sunucusuna HTTPS bağlantısı üzerinden Geçici bağlantı noktalarını ve güvenli bağlantı noktaları 6971 ve 6972 bağlantı noktalarını kullanır. Bağlantı noktası 6970, HTTP aracılığıyla indirme için güvenli olmayan bir bağlantı noktasıdır.

SIP OAuth yapılandırması hakkında daha fazla ayrıntı: SIP OAuth Modu .

DNS Gereksinimleri

Adanmış Örnek için Cisco , her bölgedeki hizmet için aşağıdaki formatta FQDN sağlar<customer> .<region> .wxc-di.webex.com örneğin, xyz.amer.wxc-di.webex.com .

'Müşteri' değeri yönetici tarafından İlk Kez Kurulum Sihirbazı (FTSW) bir parçası olarak sağlanır. Daha fazla bilgi için bkz. Adanmış Örnek Hizmeti Etkinleştirmesi .

Bu FQDN'ye ilişkin DNS kayıtlarının, Tahsis Edilmiş Örnek'e bağlanan şirket içi cihazları desteklemek için müşterinin dahili DNS sunucusu çözülebilir olması gerekir. Çözümü kolaylaştırmak için müşterinin bu FQDN için DNS sunucusu Ayrılmış Örnek DNS hizmetini gösteren bir Koşullu İletici yapılandırması gerekir. Tahsis Edilmiş Eşgörünüm DNS hizmeti bölgeseldir ve Tahsis Edilmiş Eşgörünüm üzerinden aşağıdaki tabloda belirtildiği gibi aşağıdaki IP adresleri kullanılarak erişilebilir. Adanmış Örnek DNS Hizmeti IP Adresi .

Tablo 5. Adanmış Örnek DNS Hizmeti IP Adresi

Bölge/DC

 Adanmış Örnek DNS Hizmeti IP Adresi

Koşullu Yönlendirme Örneği

AMER

 <customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

AB

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

Asya Pasifik, Japonya ve Çin

<customer>.apjc.wxc-di.webex.com

günah

103.232.71.100

TKY

103.232.71.228

AUS

 <customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228

Güvenlik nedeniyle yukarıda belirtilen DNS sunucusu IP adresleri için ping seçeneği devre dışı bırakılmıştır.

Koşullu yönlendirme gerçekleşene kadar, cihazlar eşleme bağlantıları aracılığıyla müşterilerin dahili ağından Tahsis Edilmiş Eşgörünüm'e kaydolamaz. MRA'yı kolaylaştırmak için gerekli tüm harici DNS kayıtları Cisco tarafından önceden sağlanacağından, Mobil ve Uzaktan Erişim (MRA) aracılığıyla kayıt için koşullu yönlendirme gerekli değildir.

Webex uygulamasını Tahsis Edilmiş Örnekte çağıran yazılım istemciniz olarak kullanırken, her bölgenin Ses Hizmeti Etki Alanı (VSD) için Control Hub'da bir UC Yönetici Profilinin yapılandırılması gerekir. Daha fazla bilgi için bkz. Cisco Webex Control Hub UC Yöneticisi Profilleri . Webex uygulaması, herhangi bir son kullanıcı müdahalesi olmadan müşterinin Expressway Edge'ini otomatik olarak çözebilecektir.

Ses Hizmeti Etki Alanı, hizmet etkinleştirmesi tamamlandıktan sonra müşteriye iş ortağı erişim belgesinin bir parçası olarak sağlanacaktır.