Özel Örnek için ağ gereksinimleri

Webex Calling Örneği, Cisco Unified Communications Manager (Cisco Unified CM) işbirliği teknolojisi tarafından desteklenen Cisco Bulut Çağrısı portföyünün bir parçasıtır. Özel Örnek, Özel Örnek'e güvenli bir şekilde bağlanan Cisco IP telefonları, mobil cihazları ve masaüstü istemcilerinin özellikleri ve avantajlarıyla ses, video, mesajlaşma ve mobil kullanım çözümleri sunar.

Bu makale, ağ yöneticilerine, özellikle de kuruluşlarında Adanmış Örneği kullanmak isteyen güvenlik duvarı ve proxy güvenliği yöneticilerine yöneliktir.

Güvenliğe genel bakış: Katmanlarda güvenlik

Adanmış Örnek , güvenlik için katmanlı bir yaklaşım kullanır. Katman şunları içerir:

  • Fiziksel erişim

  • Uç Noktalar

  • UC uygulamaları

Aşağıdaki kısımlarda, Adanmış Örnek dağıtımlarında güvenlik katmanlarını açıklanmaktadır.

Fiziksel güvenlik

Equinix Meet-Me Oda konumları ve Cisco Adanmış Örnek Veri Merkezi özellikleri için fiziksel güvenlik sağlamak önemlidir. Fiziksel güvenlik ihlal olduğunda, müşterinin geçişlerine güç kapatarak hizmet kesintisi gibi basit saldırıları başlatabilirsiniz. Fiziksel erişimle, saldırganlar sunucu cihazlarına erişim elde edeebiliyor, parolaları sıfırebiliyor ve anahtarlara erişim eldeebiliyor. Fiziksel erişim, aynı zamanda orta katman insani saldırıları gibi daha fazla saldırı saldırısına da yardımcı olur. Bu nedenle ikinci güvenlik katmanı, ağ güvenliği kritik bir öneme sahip olur.

Otomatik Şifreleme sürücüleri, UC uygulamalarını barındıran Adanmış Örnek Veri Merkezlerinde kullanılır.

Genel güvenlik uygulamaları hakkında daha fazla bilgi için aşağıdaki konumdaki belgelere bakın: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Ağ güvenliği

İş ortaklarının, tüm ağ öğelerinin Özel Örnek altyapısında (Equinix üzerinden bağlanan) güvenli olduğundan emin olması gerekir. İş ortağının, şunları gibi en iyi güvenlik uygulamalarını sağlamakla sorumlu olur:

  • Ses ve veri için ayrı VLAN

  • Bağlantı noktası başına izin verilen MAC adreslerinin sayısını CAM tablosuna sınırlamayla sınırlayan Bağlantı Noktası Güvenliğini etkinleştirin

  • Kodlu IP adreslerine karşı IP Kaynağı

  • Dinamik ARP İncelemesi (DAI), ihlaller için adres çözüm protokolü (ARP) ve gereksiz ARP (GARP) denetimlerini inceler (ARP ihlallerine karşı)

  • 802.1x Atanan VLAN'lerde cihazların kimlik doğrulaması için ağ erişimini sınırlar (telefonlar 802'i destekler.1x)

  • Ses paketlerinin uygun işaretlenmesi için hizmet kalitesi (QoS) yapılandırması

  • Başka bir trafiğin engellenmesi için güvenlik duvarı bağlantı noktaları yapılandırmaları

Uç nokta güvenliği

Cisco uç noktaları, uç noktaları için belirli bir güvenlik seviyesi sağlayan, imzalı donanım yazılımı, güvenli başlatma (seçili modeller), üreticinin yüklü sertifikası (MIKROFON) ve imzalı yapılandırma dosyaları gibi varsayılan güvenlik özelliklerini destekler.

Ayrıca, bir iş ortağı veya müşteri şunların gibi ek güvenliği etkinleştir olabilir:

  • Extension Mobility gibi hizmetler için IP telefon hizmetlerini (HTTPS aracılığıyla) şifrele

  • Sertifika yetkilisi proxy işlevinden (CAPF) veya genel sertifika yetkililerinden (CA) yerel olarak önemli sertifikaları (LSCs) sorun

  • Yapılandırma dosyalarını şifrele

  • Ortamı ve sinyali şifrele

  • Bu ayarları kullan değil ise devre dışı bırak: PC bağlantı noktası, PC Voice VLAN Erişimi, Gratuitous ARP, Web Erişimi, Ayarlar düğmesi, SSH, konsol

Özel Örnek'te güvenlik mekanizmalarının uygulanması, telefonların ve Unified CM sunucusunun kimlik hırsızlığını, veri izinsiz kişilerini ve çağrı sinyali / ortam akışının izinsiz olarak çalınmasını önlemektedir.

Ağ üzerinden Adanmış Örnek:

  • Kimliği doğrulanmış iletişim akışlarını kurma ve koruma

  • Dosyayı telefona aktarmadan önce dosyaları dijital olarak imzalar

  • Ip telefonları arasında ortam akışlarını ve çağrı Cisco Unified şifreler

Varsayılan güvenlik kurulumu

Güvenlik, varsayılan olarak Ip telefonları için aşağıdaki Cisco Unified özellikleri sağlar:

  • Telefon yapılandırma dosyalarının imzalanması

  • Telefon yapılandırma dosyası şifreleme desteği

  • Tomcat ve diğer Web hizmetleriyle HTTPS (MIDlet'ler)

Unified CM Sürüm 8.0 için bu güvenlik özellikleri varsayılan olarak Sertifika Güven Listesi (CTL) istemcisi çalıştırmadan sağlanır.

Güven doğrulama hizmeti

Ağda çok sayıda telefon olduğu ve IP telefonlarının sınırlı belleği olduğu için Cisco Unified CM, Güven Doğrulama Hizmeti (TVS) aracılığıyla uzaktan güven deposu olarak hareket verir ve böylece her bir telefona sertifika güven deposu yerleştirilmaz. Cisco IP telefonları, CTL veya ITL dosyalarıyla bir imza veya sertifika doğrulayamamalarından dolayı doğrulama için TVS sunucusuyla iletişime geçin. Merkezi bir güven deposuna sahip olmak, her bir ip telefonunda güven mağazasının olması Cisco Unified kolaydır.

TVS, Cisco Unified IP telefonlarının, HTTPS hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimlik doğrulamasını sağlar.

Ilk güven listesi

İlk Güven Listesi (ITL) dosyası, başlangıç güvenliği için kullanılır, böylece uç noktaları CM'Cisco Unified güvenebilir. ITL'nin özel olarak etkinleştirilmesi için herhangi bir güvenlik özelliğine ihtiyacı değildir. KÜME yüklenirken ITL dosyası otomatik olarak oluşturulur. Unified CM Önemsiz Dosya Aktarım Protokolü (TFTP) sunucusunun özel anahtarı, ITL dosyasını imzalamak için kullanılır.

CM Cisco Unified sunucusu güvenli olmayan modda olduğunda, ITL dosyası desteklenen her Cisco IP telefonuna indirilir. İş ortağı CLI komutunu kullanarak bir ITL dosyasının içeriğini 3. yöneticisi:show itl dosyasını 3.

Cisco IP telefonlarının aşağıdaki görevleri gerçekleştirmek için ITL dosyasına ihtiyacı vardır:

  • Yapılandırma dosyası şifrelemeyi destekleyen bir ön koşul olan CAPF ile güvenli bir şekilde iletişim kurma

  • Yapılandırma dosyası imzasının kimliğini doğrula

  • TVS kullanımı sırasında EM hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimlik doğrulamasını yapma

Cisco CTL

Cihaz, dosya ve sinyal kimlik doğrulaması, iş ortağı veya müşteri Cisco Sertifika Güven Listesi İstemcisini oluşturduğunda ve yapılandırıldığında oluşturulan Sertifika Güven Listesi (CTL) dosyasının oluşturulmasını kullanır.

CTL dosyası, aşağıdaki sunucular veya güvenlik belirteçleri için girişler içerir:

  • Sistem Yöneticisi Güvenlik Belirteci (SAST)

  • Aynı sunucuda çalışan Cisco CallManager ve Cisco TFTP hizmetleri

  • Sertifika Yetkilisi Proxy İşlevi (CAPF)

  • TFTP sunucularını

  • ASA güvenlik duvarı

CTL dosyası; sunucu sertifikası, genel anahtar, seri numarası, imza, sertifika adı, konu adı, sunucu işlevi, DNS adı ve her bir sunucu için IP adresi içerir.

CTL ile telefon güvenliği aşağıdaki işlevleri sağlar:

  • İmzalama anahtarı kullanarak TFTP indirilen dosyaların (yapılandırma, yerel ayarlar, zil listesi, gibi) kimlik doğrulaması

  • İmzalama anahtarı kullanarak TFTP yapılandırma dosyalarının şifrelanması

  • IP telefonları için şifreli çağrı sinyali

  • IP telefonları için şifreli çağrı sesi (ortam)

Özel Örnek Içindeki Cisco IP Telefonları için Güvenlik

Özel Örnek uç nokta kaydı ve çağrı işleme sağlar. Cisco Unified CM ve uç noktaları arasındaki sinyal, Secure Skinny Client Control Protocol (SCCP) veya Oturum Başlatma Protokolü (SIP) tabanlıdır ve Aktarım Katmanı Güvenliği (TLS) kullanılarak şifrelenir. Uç noktaların/uç noktaların medyası, Gerçek Zamanlı Taşıma Protokolü'ne (RTP) dayalıdır ve Güvenli RTP (SRTP) kullanılarak da şifrelenir.

Unified CM'de karışık modun etkinleştirilmesi, Cisco uç noktalarına ve sinyal ve medya trafiğinin şifrelenir.

Güvenli UC uygulamaları

Özel Örnekte karışık mod etkinleştirme

Karma mod, Ayrılmış Örnekte varsayılan olarak etkindir.

Adanmış Örnek'te karışık modun etkinleştirilmesi, Cisco uç noktalarına ve gelen sinyal ve ortam trafiğinin şifrelenirken gerçekleştirebilme özelliğini sağlar.

Cisco Unified CM 12.5(1) sürümüne, Jabber ve diğer istemciler için karışık mod / CTL yerine SIP OAuth'a göre sinyal ve medya şifrelemeyi etkinleştiren yeni bir seçenek Webex eklendi. Bu nedenle, Unified CM 12.5(1) sürümlerinde, SIP OAuth ve SRTP, Jabber veya birleşik istemciler için sinyal ve medyayı etkinleştirmek Webex kullanılabilir. Karışık modun etkinleştirilmesi, şu anda Cisco IP telefonları ve diğer Cisco uç noktaları için gerekli olarak devam etmektedir. Gelecekteki sürümlerde SIP OAuth için 7800/8800 uç noktalarında destek ekleme planı vardır.

Sesli mesajlaşma güvenliği

Cisco Unity Connection TLS bağlantı noktası üzerinden Unified CM'ye bağlanır. Cihaz güvenlik modu güvenli değil olduğunda, Cisco Unity Connection SCCP bağlantı noktası üzerinden Unified CM'ye bağlanır.

SCCP veya SCCP çalıştıran Cisco Unity Connection cihazları çalıştıran Unified CM sesli mesajlaşma bağlantı noktaları ve Cisco Unity cihazları için güvenliği yapılandırmak üzere, bir iş ortağı bağlantı noktası için güvenli bir cihaz güvenlik modu seçebilir. Kimliği doğrulanmış sesli mesaj bağlantı noktası seçerseniz, karşılıklı sertifika değişimi kullanarak cihazların kimliklerini doğrular (her cihaz diğer cihazın sertifikasını kabul eder) bir TLS bağlantısı açılır. Şifrelenmiş bir sesli posta bağlantı noktası seçerseniz, sistem önce cihazları doğrular ve ardından cihazlar arasında şifreli sesli akışlar gönderir.

Güvenlik Sesli mesajlaşma bağlantı noktaları hakkında daha fazla bilgi için bkz.: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

SRST, Trunks, Ağ Geçitleri, CUBE/SBC için Güvenlik

Yalnızca Cisco Unified Uzak Site Telefonu (SRST) etkin ağ geçidi, Adanmış Örnekte Cisco Unified CM'nin çağrıyı tamamlayamazsa sınırlı çağrı işleme görevleri sağlar.

Güvenli SRST'nin etkin olduğu ağ geçitleri kendinden imzalı bir sertifika içerir. İş ortağı Unified CM Yönetimi'ni SRST yapılandırma görevlerini gerçekleştirdikten sonra, Unified CM, SRST'nin etkin olduğu ağ geçidinde Sertifika Sağlayıcısı hizmetiyle kimlik doğrulaması yapmak için bir TLS bağlantısı kullanır. Unified CM, sertifikayı SRST'nin etkin olduğu ağ geçidinden alır ve sertifikayı Unified CM veritabanına ekler.

İş ortağı Unified CM Yönetimi'ne bağlı cihazları sıfırladıktan sonra, TFTP sunucusu SRST'nin etkin olduğu ağ geçidi sertifikasını telefon cnf.xml dosyasına ekler ve dosyayı telefona gönderir. Güvenli bir telefon, SRST'nin etkin olduğu ağ geçidiyle etkileşim kurmak için TLS bağlantısı kullanır.

Cisco Unified CM'den ağ geçidine giden veya Cisco Unified Sınır Öğesinden (CUBE) geçiş yapmak için PSTN trunk'lara sahip Cisco Unified önerilir.

SIP trunks hem sinyal hem de ortam için güvenli çağrıları desteklemektedir; TLS sinyal şifrelemesi ve SRTP medya şifrelemesi sağlar.

Cisco Unified CM ve CUBE arasındaki iletişimlerin güvenliğini sağlama

CM ve CUBE Cisco Unified arasında güvenli iletişim için iş ortaklarının/müşterilerin kendinden imzalı sertifika veya sertifika yetkilisi imzalı sertifikalar kullanmaları gerekir.

Otomatik olarak imzalanan sertifikalar için:

  1. CUBE ve Cisco Unified CM kendinden imzalı sertifikalar oluştur

  2. CUBE, sertifikayı CM'Cisco Unified aktarıyor

  3. Cisco Unified CM, sertifikayı CUBE olarak dışa aktarıyor

Sertifika yetkilisi imzalı sertifikalar için:

  1. İstemci bir anahtar çifti oluşturmakta ve Sertifika Yetkilisine (CA) bir Sertifika İmzalama Talebi (CSR) gönderir

  2. Ca, bunu özel anahtarıyla imzalar ve bir Kimlik Sertifikası oluşturma

  3. İstemci, güvenilen CA Kök ve Aracı Sertifikaları ile Kimlik Sertifikası listesini yüklür

Uzak uç noktalar için güvenlik

Mobil ve Remote Access (MRA) uç noktaları ile sinyal ve ortam her zaman MRA uç noktaları ve diğer Expressway şifrelenir. MRA uç noktaları için Etkileşimli Bağlantı Etkileşim (ICE) protokolü kullanılırsa MRA uç noktalarının sinyal ve medya şifrelemesi gereklidir. Ancak Expressway-C ile dahili Unified CM sunucuları, dahili uç noktaları veya diğer dahili cihazlar arasında sinyal ve medyanın şifrelenirken karışık mod veya SIP OAuth gerekir.

Cisco Expressway, Unified CM kayıtları için güvenli güvenlik duvarı geçişi ve hat tarafı desteği sağlar. Unified CM, hem mobil hem de şirket içi uç noktalar için çağrı kontrolü sağlar. Sinyal, uzak uç Expressway Unified CM arasında geçiş sağlar. Ortam, Expressway çözümü üzerinden geçiş sağlar ve doğrudan uç noktaları arasında geçiştir. Tüm ortamlar, Expressway-C ve mobil uç nokta arasında şifrelenir.

MrA çözümünün her Expressway, MRA uyumlu yazılım istemcileri ve/veya sabit uç noktalarıyla Uyumlu ve Unified CM gerektirir. Çözüm isteğe bağlı olarak IM ve Presence Hizmeti ve Unity bağlantısı içerebilir.

Protokol özeti

Aşağıdaki tablo, Unified CM çözümünde kullanılan protokolleri ve ilişkili hizmetleri gösterir.

Tablo 1. Protokoller ve ilişkili hizmetler

Protocol

Güvenlik

Hizmet

SIP

TLS

Oturumun Neden Olduğu Oturum: Kaydolma, Davet etme vb.

HTTPS

TLS

Oturum Açma, Sağlama/Yapılandırma, Dizin, Görsel Sesli Mesaj

Ortam

SRTP

Medya: Ses, Video, İçerik Paylaşımı

XMPP

TLS

Anlık Mesajlaşma, Presence, Federasyon

MRA yapılandırması hakkında daha fazla bilgi için bkz.: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Yapılandırma seçenekleri

Özel Örnek, İş Ortağına, iki günlük yapılandırmaların tam kontrolüyle son kullanıcılara hizmetleri özelleştirme esnekliği sunar. Sonuç olarak, son kullanıcının ortamı için Adanmış Örnek hizmetinin doğru şekilde yapılandırmasından yalnızca İş Ortağı sorumludur. Bu şunları içerir, ancak bunlarla sınırlı değildir:

  • Güvenli/güvenli olmayan çağrıların, SIP/sSIP, http/https vb. gibi güvenli/güvenli protokollerin seçimi ve ilişkili riskleri anlama.

  • Adanmış Örnek'te güvenli SIP olarak yapılandırılmamış tüm MAC adresleri için bir saldırgan, bu MAC adresini kullanarak SIP Kaydı mesajı gönderebilir ve SIP çağrısı yapmalarını sağlar ve bu nedenle ücretli sahtekarlıkla sonuç çıkar. Bunun tek kuralı, adanmış örnekte kayıtlı bir cihazın MAC adresini biliyorsa saldırganların SIP aygıtlarını/ yazılımlarını yetki olmadan Adanmış Örnekler'e kaydedabilmesidir.

  • Expressway-E çağrı politikaları, dönüşümü ve arama kurallarını, ücretli sahtekarlıkları önlemek için yapılandırmalıdır. Expressway'leri kullanarak ücretsiz sahtekarlıkları önleme hakkında daha fazla bilgi için İş Birliği SRND'nin Expressway C ve Expressway-E bölümü için Güvenlik'e bakın.

  • Kullanıcıların yalnızca izin verilen hedefleri aramasını sağlamak için arama planı yapılandırması; örneğin, ulusal/uluslararası aramayı yasaklamak, acil durum çağrıları doğru şekilde yönlendirilmek vb. Arama planını kullanarak kısıtlamaları uygulama hakkında daha fazla bilgi için Iş Birliği SRND'nin Arama Planı bölümüne bakın.

Özel Örnekte güvenli bağlantılar için sertifika gereksinimleri

Özel Örnek için Cisco etki alanını sağlayacak ve genel bir Sertifika Yetkilisi (CA) kullanarak UC Uygulamaları için tüm sertifikaları imzalar.

Özel Örnek – bağlantı noktası numaraları ve protokoller

Aşağıdaki tablolarda, Adanmış Örnek'te desteklenen bağlantı noktaları ve protokoller açık almaktadır. Belirli bir müşteri için kullanılan bağlantı noktaları, Müşterinin dağıtımına ve çözümüne bağlıdır. Protokoller müşterinin tercihine (SCCP ve SIP), mevcut şirket içi cihazlara ve her dağıtımda hangi bağlantı noktalarının kullanılacağını belirlemek için hangi güvenlik düzeyine bağlıdır.

Çağrı akışı özelliklerinden bazıları çalışmayacağı için Ayrılmış Örnek, çağrı ortası özelliği gibi uç noktalar ile Unified CM arasında Ağ Adresi Çevirisine (NAT) izin vermiyor.

Özel Örnek – Müşteri Portları

Müşteriler için kullanılabilir portlar - Müşteri şirket içi ve Adanmış Örnek arasında Tablo 1 Adanmış Örnek Müşteri Portları gösterilir. Aşağıda listelenen tüm bağlantı noktaları, eşleme bağlantılarından geçen müşteri trafiğine sahiptir.

SNMP bağlantı noktası, varsayılan olarak yalnızca Cisco Emergency Responder’ın işlevselliğini desteklemek üzere açıktır. Özel Örnek bulutunda dağıtılan UC uygulamalarını izleyen iş ortaklarını veya müşterileri desteklemediğimizden, diğer UC uygulamaları için SNMP bağlantı noktasının açılmasına izin vermiyoruz.

5063 ila 5080 aralığındaki bağlantı noktalarının diğer bulut entegrasyonları için Cisco tarafından ayrılmış olması, iş ortağı veya müşteri yöneticilerinin yapılandırmalarında bu bağlantı noktalarını kullanmamaları önerilir.

Tablo 2. Özel Örnek Müşteri bağlantı noktaları

Protokol

TCP/UDP

Source

Hedef

Kaynak Bağlantı Noktası

Hedef Bağlantı Noktası

Amaç

Ssh

TCP

müşteri

UC uygulamaları

Cisco Expressway uygulamalarına izin verilmiyor.

1023'den büyük

22

Yönetim

Tftp

UDP

Uç Noktası

Unified CM

1023'den büyük

69

Eski Uç Nokta Desteği

LDAP

TCP

UC uygulamaları

Harici Dizin

1023'den büyük

389

Müşteri LDAP'sı ile dizin senkronizasyonu

HTTPS

TCP

tarayıcı

UC uygulamaları

1023'den büyük

443

Kendi kendine bakım ve yönetim arayüzleri için web erişimi

Giden Posta (GÜVENLİ)

TCP

UC Uygulaması

CUCxn

1023'den büyük

587

Belirtilen alıcılara güvenli mesajlar oluşturmak ve göndermek için kullanılır

LDAP (GÜVENLI)

TCP

UC uygulamaları

Harici Dizin

1023'den büyük

636

Müşteri LDAP'sı ile dizin senkronizasyonu

H323

TCP

Ağ Geçici

Unified CM

1023'den büyük

1720

Çağrı sinyali

H323

TCP

Unified CM

Unified CM

1023'den büyük

1720

Çağrı sinyali

SCCP

TCP

Uç Noktası

Birleşik CM, CUCxn

1023'den büyük

2000

Çağrı sinyali

SCCP

TCP

Unified CM

Unified CM, Ağ Geçidi

1023'den büyük

2000

Çağrı sinyali

mgcp

UDP

Ağ Geçici

Ağ Geçici

1023'den büyük

2427

Çağrı sinyali

MGCP

TCP

Ağ Geçici

Unified CM

1023'den büyük

2428

Çağrı sinyali

SCCP (GÜVENLI)

TCP

Uç Noktası

Birleşik CM, CUCxn

1023'den büyük

2443

Çağrı sinyali

SCCP (GÜVENLI)

TCP

Unified CM

Unified CM, Ağ Geçidi

1023'den büyük

2443

Çağrı sinyali

Güven Doğrulama

TCP

Uç Noktası

Unified CM

1023'den büyük

2445

Uç noktalara güven doğrulama hizmeti sağlama

Ctı

TCP

Uç Noktası

Unified CM

1023'den büyük

2748

CTI uygulamaları (JTAPI/TSP) ve CTIManager arasında bağlantı

Güvenli CTI

TCP

Uç Noktası

Unified CM

1023'den büyük

2749

CTI uygulamaları (JTAPI/TSP) ve CTIManager arasında güvenli bağlantı

LDAP Genel Kataloğu

TCP

UC Uygulamaları

Harici Dizin

1023'den büyük

3268

Müşteri LDAP'sı ile dizin senkronizasyonu

LDAP Genel Kataloğu

TCP

UC Uygulamaları

Harici Dizin

1023'den büyük

3269

Müşteri LDAP'sı ile dizin senkronizasyonu

CAPF Hizmeti

TCP

Uç Noktası

Unified CM

1023'den büyük

3804

Sertifika Yetkilisi Proxy İşlevi (CAPF) dinleme bağlantı noktası: Yerel Olarak Önemli Sertifikalar (LSC) IP telefonlarına verme

SIP

TCP

Uç Noktası

Birleşik CM, CUCxn

1023'den büyük

5060

Çağrı sinyali

SIP

TCP

Unified CM

Unified CM, Ağ Geçidi

1023'den büyük

5060

Çağrı sinyali

SIP (GÜVENLI)

TCP

Uç Noktası

Unified CM

1023'den büyük

5061

Çağrı sinyali

SIP (GÜVENLI)

TCP

Unified CM

Unified CM, Ağ Geçidi

1023'den büyük

5061

Çağrı sinyali

SIP (OAUTH)

TCP

Uç Noktası

Unified CM

1023'den büyük

5090

Çağrı sinyali

XMPP

TCP

Jabber İstemcisi

Cisco IM&P

1023'den büyük

5222

Anlık Mesajlaşma ve Iletişim Durumu

HTTP

TCP

Uç Noktası

Unified CM

1023'den büyük

6970

Yapılandırma ve görüntüler uç noktalara indir indirme

HTTPS

TCP

Uç Noktası

Unified CM

1023'den büyük

6971

Yapılandırma ve görüntüler uç noktalara indir indirme

HTTPS

TCP

Uç Noktası

Unified CM

1023'den büyük

6972

Yapılandırma ve görüntüler uç noktalara indir indirme

HTTP

TCP

Jabber İstemcisi

CUCxn

1023'den büyük

7080

Sesli mesaj bildirimleri

HTTPS

TCP

Jabber İstemcisi

CUCxn

1023'den büyük

7443

Güvenli sesli mesaj bildirimleri

HTTPS

TCP

Unified CM

Unified CM

1023'den büyük

7501

Sertifika tabanlı kimlik doğrulaması içinCluster Lookup Service (ILS) tarafından kullanılır

HTTPS

TCP

Unified CM

Unified CM

1023'den büyük

7502

Parola tabanlı kimlik doğrulama için ILS tarafından kullanılır

IMAP

TCP

Jabber İstemcisi

CUCxn

1023'den büyük

7993

TLS üzerinden IMAP

HTTP

TCP

Uç Noktası

Unified CM

1023'den büyük

8080

Eski Uç Nokta Desteği için Dizin URI’si

HTTPS

TCP

Tarayıcı, Uç Nokta

UC uygulamaları

1023'den büyük

8443

Kendi kendine bakım ve yönetim arayüzleri, UDS için web erişimi

HTTPS

TCP

Telefon

Unified CM

1023'den büyük

9443

Kimliği doğrulanmış kişi arama

HTTP’ler

TCP

Uç Noktası

Unified CM

1023'den büyük

9444

Kulaklık Yönetimi Özelliği

Güvenli RTP/SRTP

UDP

Unified CM

Telefon

16384- 32767 *

16384- 32767 *

Ortam (ses) - Müziği Basılı Tutun, Sesli Yayın, Yazılım Konferans Köprüsü (Çağrı sinyaline bağlı olarak açın)

Güvenli RTP/SRTP

UDP

Telefon

Unified CM

16384- 32767 *

16384- 32767 *

Ortam (ses) - Müziği Basılı Tutun, Sesli Yayın, Yazılım Konferans Köprüsü (Çağrı sinyaline bağlı olarak açın)

Kobralar

TCP

müşteri

CUCxn

1023'den büyük

20532

Uygulama Paketini Yedekleme ve Geri Yükleme

ICMP

ICMP

Uç Noktası

UC uygulamaları

Yok

Yok

Ping

ICMP

ICMP

UC uygulamaları

Uç Noktası

Yok

Yok

Ping

DNS UDP ve TCP

DNS iletme

Özel Örnek DNS sunucuları

1023'den büyük

53

Özel Örnek DNS sunucularına Müşteri Tesis DNS yönlendirmeleri. Daha fazla bilgi için bkz. DNS gereksinimleri .

* Belirli özel durumlar daha geniş bir aralık kullanabilir.

Özel Örnek – OTT bağlantı noktaları

Aşağıdaki bağlantı noktası, Mobil ve Uzaktan Erişim (MRA) kurulumu için Müşteriler ve Iş Ortakları tarafından kullanılabilir:

Tablo 3. OTT için bağlantı noktası

Protocol

TCP/UCP

Source

Hedef

Kaynak Bağlantı Noktası

Hedef Bağlantı Noktası

Amaç

GÜVENLI RTP/RTCP

UDP

Ekspres Yol C

İstemci

1023'den büyük

36000-59999

MRA ve B2B çağrıları için Güvenli Ortam

Çok Kiracı ve Ayrılmış Örnek arasındaki inter-op SIP santrali (yalnızca kayıt tabanlı santral için)

Çoklu kiracı ve Ayrılmış Örnek arasında bağlanan kayıt tabanlı SIP santrali için müşterinin güvenlik duvarında aşağıdaki bağlantı noktalarının listesine izin verilmelidir.

Tablo 4. Kayıt tabanlı santraller için bağlantı noktası

Protocol

TCP/UCP

Source

Hedef

Kaynak Bağlantı Noktası

Hedef Bağlantı Noktası

Amaç

rtp/rtcp

UDP

Webex Calling Çoklu Kiracı

İstemci

1023'den büyük

8000-48198

Webex Calling Çoklu Kiracıdan gelen medya

Özel Örnek – UCCX bağlantı noktaları

Müşteriler ve İş Ortakları tarafından UCCX yapılandırması için aşağıdaki bağlantı noktaları listesi kullanılabilir.

Tablo 5. Cisco UCCX bağlantı noktaları

Protocol

TCP / UCP

Source

Hedef

Kaynak Bağlantı Noktası

Hedef Bağlantı Noktası

Amaç

Ssh

TCP

müşteri

UCCX

1023'den büyük

22

SFTP ve SSH

Informix

TCP

İstemci veya Sunucu

UCCX

1023'den büyük

1504

Contact Center Express veritabanı bağlantı noktası

SIP

UDP ve TCP

SIP GW veya MCRP sunucusu

UCCX

1023'den büyük

5065

Uzak GW ve MCRP düğümleriyle iletişim

XMPP

TCP

müşteri

UCCX

1023'den büyük

5223

Finesse sunucusu ve özel üçüncü taraf uygulamalar arasında güvenli XMPP bağlantısı

Cvd

TCP

müşteri

UCCX

1023'den büyük

6999

CCX uygulamaları için Düzenleyici

HTTPS

TCP

müşteri

UCCX

1023'den büyük

7443

HTTPS üzerinden iletişim için Finesse sunucusu ve aracı ve denetleyici masaüstleri arasında güvenli BOSH bağlantısı

HTTP

TCP

müşteri

UCCX

1023'den büyük

8080

Canlı veri raporlama istemcileri bir socket.IO sunucusuna bağlanır

HTTP

TCP

müşteri

UCCX

1023'den büyük

8081

Cisco Unified Intelligence Center web arayüzüne erişmeye çalışan istemci tarayıcısı

HTTP

TCP

müşteri

UCCX

1023'den büyük

8443

Yönetici GUI, RTMT, SOAP üzerinden veritabanı erişimi

HTTPS

TCP

müşteri

UCCX

1023'den büyük

8444

Cisco Unified Intelligence Center web arayüzü

HTTPS

TCP

Tarayıcı ve REST istemcileri

UCCX

1023'den büyük

8445

Finesse için güvenli bağlantı noktası

HTTPS

TCP

müşteri

UCCX

1023'den büyük

8447

HTTPS - Unified Intelligence Center çevrimiçi yardımı

HTTPS

TCP

müşteri

UCCX

1023'den büyük

8553

Çoklu oturum açma (SSO) bileşenleri, Cisco IdS'nin çalışma durumunu bilmek için bu arayüze erişir.

HTTP

TCP

müşteri

UCCX

1023'den büyük

9080

HTTP tetikleyicileri veya belgeleri / istemleri / dilbilgisi / canlı verilere erişmeye çalışan istemciler.

HTTPS

TCP

müşteri

UCCX

1023'den büyük

9443

HTTPS tetikleyicilerine erişmeye çalışan istemcilere yanıt vermek için kullanılan güvenli bağlantı noktası

TCP

TCP

müşteri

UCCX

1023'den büyük

12014

Bu, canlı veri raporlama istemcilerinin socket.IO sunucusuna bağlanabildiği bağlantı noktasıdır

TCP

TCP

müşteri

UCCX

1023'den büyük

12015

Bu, canlı veri raporlama istemcilerinin socket.IO sunucusuna bağlanabildiği bağlantı noktasıdır

Ctı

TCP

müşteri

UCCX

1023'den büyük

12028

CCX’e üçüncü taraf CTI istemcisi

RTP (Ortam)

TCP

Uç Noktası

UCCX

1023'den büyük

1023'den büyük

Ortam bağlantı noktası gerektiğinde dinamik olarak açılır

RTP (Ortam)

TCP

müşteri

Uç Noktası

1023'den büyük

1023'den büyük

Ortam bağlantı noktası gerektiğinde dinamik olarak açılır

Istemci güvenliği

Jabber ve SIP OAuth Webex Jabber'ı Koruma

Jabber ve Webex istemcilerinin kimlik doğrulaması, yerel olarak önemli bir sertifika (LSC) yerine bir OAuth belirteci ile kimlik doğrulamasılanır; bu belirteç, sertifika yetkilisi proxy'si işlevini (CAPF) etkinleştirmesini (MRA için de) gerektirmez. Karışık mod ile veya karışık mod olmadan çalışan SIP OAuth, Cisco Unified CM 12.5(1), Jabber 12.5 ve Expressway X12.5'te başlatıldı.

Cisco Unified CM 12.5'te, Telefon Güvenliği Profilinde SIP REGISTER'da tek Aktarım Katmanı Güvenliği (TLS) + OAuth belirteci kullanarak LSC/CAPF olmadan şifrelemeyi sağlayan yeni bir seçeneğimiz var. Expressway-C düğümleri, sertifikalarında SN/SAN'nin cm'sini Cisco Unified yönetici XML Web Hizmeti (AXL) API'sini kullanır. Cisco Unified CM, bu bilgileri bir ağ bağlantısı kuruluken Exp-C karşılıklı TLS kullanır.

SIP OAuth, uç nokta sertifikası (LSC) olmadan ortam ve sinyal şifrelemesi sağlar.

Cisco Jabber, yapılandırma dosyalarını indirmek için TFTP sunucusuna HTTPS bağlantısı aracılığıyla Geçici bağlantı noktaları ve güvenli bağlantı noktaları 6971 ve 6972 bağlantı noktalarını kullanır. Bağlantı Noktası 6970, HTTP aracılığıyla indirilmeyen bir bağlantı noktasıdır.

SIP OAuth yapılandırması hakkında daha fazla ayrıntı: SIP OAuth Modu.

DNS gereklilikleri

Özel Örnek için Cisco, her bölgedeki hizmet için FQDN’yi şu formatta sağlar: ..wxc-di.webex.com , örneğin xyz.amer.wxc-di.webex.com.

'müşteri' değeri, İlk Kurulum Sihirbazı'nın (FTSW) parçası olarak yönetici tarafından sağlanır. Daha fazla bilgi için Adanmış Örnek Hizmeti Etkinleştirme'ye bakın.

Bu etki FQDN için DNS kayıtlarının, Adanmış Örneği'ne bağlanan şirket içi cihazları desteklemek için müşterinin dahili DNS sunucusundan çözülebilir olması gerekir. Çözünürlüğü kolaylaştırmak için müşterinin bu çözüm için Dns sunucusunda Adanmış Örnek DNS hizmetini FQDN Bir Koşullu Yönlendirmeci yapılandırması gerekir. Ayrılmış Örnek DNS hizmeti bölgeseldir ve aşağıdaki tabloda Ayrılmış Örnek DNS Hizmeti IP Adresi’nde belirtilen aşağıdaki IP adresleri kullanılarak Ayrılmış Örnek ile eşleştirilerek ulaşılabilir.

Tablo 6. Adanmış Örnek DNS Hizmeti IP Adresi

Bölge/DC

Adanmış Örnek DNS Hizmeti IP Adresi

Koşullu Yönlendirme Örneği

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

Dfw

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

AB

<customer>.eu.wxc-di.webex.com

Fransa Cumhuriyeti

178.215.131.100

Ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Günah

103.232.71.100

tky

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Syd

178.215.128.228

Birleşik Krallık

<customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

adam

178.215.135.228

Ping seçeneği, güvenlik nedeniyle yukarıda bahsedilen DNS sunucusu IP adresleri için devre dışıdır.

Koşullu yönlendirme yeri gelene kadar cihazlar eşleme bağlantıları aracılığıyla müşterilerin dahili ağın Adanmış Örneğine kaydolamayacaktır. MRA'yı kolaylaştırmak için gerekli tüm harici DNS kayıtları Cisco tarafından ön tedarik e-postası olarak mobil ve Remote Access (MRA) ile kayıt için gerekli değildir.

Özel Örnek'te Webex yazılım istemciniz olarak çağrı yazılım istemcisi olarak kullanılırken, her bir bölgenin Sesli Hizmet Etki Alanı (VSD) için Control Hub'da bir UC Yönetici Profili yapılandırılması gerekir. Daha fazla bilgi için proje yöneticisi profillerini Cisco Webex Control Hub. Bu Webex, son kullanıcı müdahalesi olmadan müşterinin uç Expressway Edge'i otomatik olarak çözebilir.

Sesli Hizmet Etki Alanı, hizmet etkinleştirme tamamlandıktan sonra müşteriye iş ortağı erişim belgesinin bir parçası olarak sağlanacaktır.

Telefon DNS çözünürlüğü için yerel bir yönlendirici kullanın

Kurumsal DNS sunucularına erişimi olmayan telefonlarda, DNS isteklerini Ayrılmış Örnek bulut DNS'ine iletmek için yerel bir Cisco yönlendirici kullanmak mümkündür. Bu, yerel bir DNS sunucusu dağıtım ihtiyacını ortadan kaldırır ve önbelleğe alma dahil tam DNS desteği sağlar.

Örnek yapılandırma :

!

ip dns sunucusu

ip adı-sunucusu

!

Bu dağıtım modelindeki DNS kullanımı telefonlara özeldir ve FQDN’leri yalnızca müşterinin Ayrılmış Örneğindeki etki alanıyla çözümlemek için kullanılabilir.

Telefon DNS çözünürlüğü