Вимоги до мережі для виділеного екземпляра

Виділений екземпляр Webex Calling є частиною портфоліо хмарних дзвінків Cisco, що працює на основі технології спільної роботи Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance пропонує рішення для голосового зв'язку, відео, обміну повідомленнями та мобільності з функціями та перевагами IP-телефонів Cisco, мобільних пристроїв та настільних клієнтів, які безпечно підключаються до виділеного екземпляра.

Ця стаття призначена для адміністраторів мережі, зокрема адміністраторів брандмауерів і проксі-серверів, які хочуть використовувати виділений екземпляр у своїй організації. Цей документ в першу чергу зосереджений на мережевих вимогах і безпеці для рішення Dedicated Instance, включаючи багаторівневий підхід до функцій і функціональних можливостей, які забезпечують безпечний фізичний доступ, безпечну мережу, безпечні кінцеві точки і безпечні програми Cisco UC.

Огляд безпеки: Безпека в шарах

Dedicated Instance використовує багаторівневий підхід для безпеки. До шарів відносяться:

  • Фізичний доступ

  • Мережа

  • Кінцеві пристрої

  • Застосування UC

У наведених нижче розділах описано рівні безпеки в розділі Розгортання виділених екземплярів .

Фізична безпека

Важливо забезпечити фізичну безпеку локацій Equinix Meet-Me Room та об'єктів спеціалізованого центру обробки даних Cisco . Коли фізична безпека порушена, можна ініціювати прості атаки, такі як порушення обслуговування шляхом відключення живлення на комутаторах клієнта. За допомогою фізичного доступу зловмисники могли отримати доступ до серверних пристроїв, скинути паролі та отримати доступ до комутаторів. Фізичний доступ також полегшує більш складні атаки, такі як атаки «людина посередині», тому другий рівень безпеки, мережева безпека, має вирішальне значення.

Самошифруючі диски використовуються в спеціалізованих центрах обробки даних екземплярів , в яких розміщуються програми UC.

Щоб отримати додаткові відомості про загальні методи забезпечення безпеки, зверніться до документації в такому місці: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Мережева безпека

Партнери повинні переконатися, що всі елементи мережі захищені в інфраструктурі Dedicated Instance (яка підключається через Equinix). Відповідальність партнера полягає в забезпеченні найкращих практик безпеки, таких як:

  • Окремий VLAN для голосу та даних

  • Увімкнути безпеку порту, яка обмежує кількість MAC-адрес, дозволених для кожного порту, проти затоплення таблиці CAM

  • Ip-джерело Захист від підроблених IP-адрес

  • Dynamic ARP Inspection (DAI) перевіряє протокол адресної роздільної здатності (ARP) та безоплатний ARP (GARP) на предмет порушень (проти спуфінгу ARP)

  • 802.1x обмежує доступ до мережі для автентифікації пристроїв на призначених VLAN (телефони підтримують 802.1x)

  • Налаштування якості обслуговування (QoS) для відповідного маркування голосових пакетів

  • Конфігурації портів брандмауера для блокування будь-якого іншого трафіку

Безпека кінцевих точок

Кінцеві точки Cisco підтримують функції безпеки за замовчуванням, такі як підписана прошивка, безпечне завантаження (вибрані моделі), встановлений виробником сертифікат (MIC) і підписані файли конфігурації, які забезпечують певний рівень безпеки для кінцевих точок.

Крім того, партнер або клієнт може забезпечити додаткову безпеку, таку як:

  • Зашифрувати послуги IP-телефону (через HTTPS) для таких служб, як мобільність розширення

  • Випуск локально значущих сертифікатів (LSC) з проксі-функції центру сертифікації (CAPF) або державного центру сертифікації (ЦС)

  • Шифрування файлів конфігурації

  • Шифрування медіафайлів і сигналізації

  • Вимкніть ці настройки, якщо вони не використовуються: Порт ПК, голосовий VLAN доступ до ПК, безкоштовний ARP, веб-доступ, кнопка налаштування, SSH, консоль

Впровадження механізмів безпеки у виділеному екземплярі запобігає крадіжці особистих даних телефонів та сервера Unified CM, фальсифікації даних та фальсифікації сигналів викликів / медіапотоку.

Виділений екземпляр через мережу:

  • Створює та підтримує автентифіковані потоки зв'язку

  • Цифровий підписує файли перед передачею файлу на телефон

  • Шифрує медіапотоки та сигнали викликів між уніфікованими IP-телефонами Cisco

Налаштування безпеки за замовчуванням

Безпека за замовчуванням забезпечує такі функції автоматичної безпеки для IP-телефонів Cisco Unified:

  • Підписання файлів конфігурації телефону

  • Підтримка шифрування файлів конфігурації телефону

  • HTTPS з Tomcat та іншими веб-службами (MIDlets)

Для уніфікованого випуску CM 8.0 пізніше ці функції безпеки надаються за промовчанням без запуску клієнта списку надійності сертифіката (CTL).

Служба перевірки довіри

Оскільки в мережі є велика кількість телефонів, а IP-телефони мають обмежену пам'ять, Cisco Unified CM діє як віддалене сховище довіри через службу перевірки довіри (TVS), так що сховище довіри сертифікатів не потрібно розміщувати на кожному телефоні. IP-телефони Cisco зв'язуються з сервером TVS для перевірки, оскільки вони не можуть перевірити підпис або сертифікат за допомогою файлів CTL або ITL. Мати центральний магазин довіри легше керувати, ніж мати сховище довіри на кожному уніфікованому IP-телефоні Cisco.

TVS дозволяє Cisco Unified IP-телефонам аутентифікувати сервери додатків, такі як служби EM, каталог і MIDlet, під час створення HTTPS.

Початковий список довіри

Файл початкового списку довіри (ITL) використовується для початкової безпеки, щоб кінцеві точки могли довіряти Cisco Unified CM. ITL не потребує явного ввімкнення будь-яких функцій безпеки. Itl-файл створюється автоматично при установці кластера. Закритий ключ сервера єдиного протоколу передачі файлів CM Trivial (TFTP) використовується для підписання файлу ITL.

Коли кластер або сервер Cisco Unified CM знаходиться в незахищеному режимі, файл ITL завантажується на кожен підтримуваний IP-телефон Cisco. Партнер може переглядати вміст ITL-файлу за допомогою команди CLI admin:show itl.

IP-телефонам Cisco файл ITL потрібен для виконання наступних завдань:

  • Безпечно спілкуйтеся з CAPF, що є обов'язковою умовою для підтримки шифрування файлів конфігурації

  • Автентифікація підпису файлу конфігурації

  • Автентифікація серверів додатків, таких як служби EM, каталог і MIDlet під час встановлення HTTPS за допомогою TVS

Cisco CTL

Автентифікація пристрою, файлів і сигналів залежить від створення файлу списку надійності сертифіката (CTL), який створюється під час інсталяції та настроювання клієнтом клієнта списку надійності сертифіката Cisco.

CTL-файл містить записи для наступних серверів або токенів безпеки:

  • Токен безпеки системного адміністратора (SAST)

  • Сервіси Cisco CallManager і Cisco TFTP, які працюють на одному сервері

  • Проксі-функція центру сертифікації (CAPF)

  • Сервер(и) TFTP

  • Брандмауер ASA

CTL-файл містить сертифікат сервера, відкритий ключ, серійний номер, підпис, ім'я емітента, ім'я суб'єкта, функцію сервера, ім'я DNS та IP-адресу для кожного сервера.

Безпека телефону з CTL забезпечує наступні функції:

  • Аутентифікація завантажених TFTP файлів (конфігурація, локалізація, список дзвінків і так далі) за допомогою ключа підписання

  • Шифрування файлів конфігурації TFTP за допомогою ключа підписання

  • Зашифрована сигналізація дзвінків для IP-телефонів

  • Зашифрований аудіодзвінок (медіа) для IP-телефонів

Безпека для IP-телефонів Cisco у виділеному екземплярі

Dedicated Instance забезпечує реєстрацію кінцевих точок та обробку викликів. Сигналізація між Cisco Unified CM і кінцевими точками базується на протоколі безпечного контролю клієнта (SCCP) або протоколі ініціації сеансу (SIP) і може бути зашифрована за допомогою безпеки транспортного рівня (TLS). Носій від/до кінцевих точок базується на транспортному протоколі реального часу (RTP), а також може бути зашифрований за допомогою Secure RTP (SRTP).

Увімкнення змішаного режиму на Unified CM дозволяє шифрувати сигнальний та медіа-трафік з кінцевих точок Cisco та до них.

Безпечні програми UC

Увімкнення змішаного режиму у виділеному екземплярі

Змішаний режим за замовчуванням не ввімкнено у виділеному екземплярі.

Увімкнення змішаного режиму у виділеному екземплярі дозволяє виконувати шифрування сигнального та медіа-трафіку з кінцевих точок Cisco та до них.

У релізі Cisco Unified CM 12.5(1) для клієнтів Jabber і Webex була додана нова опція для включення шифрування сигналів і носіїв на основі SIP OAuth замість змішаного режиму / CTL. Тому в Unified CM релізі 12.5(1) SIP OAuth і SRTP можуть використовуватися для включення шифрування сигналів і носіїв для клієнтів Jabber або Webex. Увімкнення змішаного режиму наразі продовжує вимагатися для IP-телефонів Cisco та інших кінцевих точок Cisco. У майбутньому випуску планується додати підтримку SIP OAuth в кінцевих точках 7800/8800.

Безпека голосових повідомлень

Cisco Unity Connection підключається до Unified CM через порт TLS. Коли режим безпеки пристрою незахищений, Cisco Unity Connection підключається до Unified CM через порт SCCP.

Щоб налаштувати безпеку для портів голосових повідомлень Unified CM і пристроїв Cisco Unity, які працюють під управлінням пристроїв SCCP або Cisco Unity Connection під управлінням SCCP, партнер може вибрати безпечний режим безпеки пристрою для порту. Якщо вибрати автентифікований порт голосової пошти, відкриється З'єднання TLS, яке автентифікує пристрої за допомогою взаємного обміну сертифікатами (кожен пристрій приймає сертифікат іншого пристрою). Якщо вибрати зашифрований порт голосової пошти, система спочатку автентифікує пристрої, а потім відправляє зашифровані голосові потоки між пристроями.

Щоб отримати додаткові відомості про порти голосового обміну повідомленнями безпеки, зверніться до: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Безпека для SRST, стовбурів, шлюзів, CUBE/SBC

Шлюз із підтримкою уніфікованої живучої віддаленої телефонії сайту Cisco (SRST) забезпечує обмежені завдання обробки викликів, якщо уніфікована CM Cisco на виділеному екземплярі не може завершити виклик.

Захищені шлюзи з підтримкою протоколу SRST містять сертифікат із власним підписом. Після того, як партнер виконує завдання з конфігурації SRST в уніфікованому адмініструванні CM, Unified CM використовує З'єднання TLS для автентифікації за допомогою служби постачальника сертифікатів у шлюзі з підтримкою SRST. Потім уніфікована CM отримує сертифікат зі шлюзу з підтримкою SRST і додає сертифікат до бази даних Unified CM.

Після того, як партнер скидає залежні пристрої в уніфікованому cm-адмініструванні, сервер TFTP додає сертифікат шлюзу з підтримкою SRST до файлу телефону cnf.xml і відправляє файл на телефон. Потім захищений телефон використовує З'єднання TLS для взаємодії зі шлюзом із підтримкою SRST.

Рекомендується мати надійні стволи для виклику, що надходить від Cisco Unified CM до шлюзу для вихідних викликів ТМЗК або обходу через Єдиний прикордонний елемент Cisco (CUBE).

SIP-траки можуть підтримувати безпечні дзвінки як для сигналізації, так і для носіїв; TLS забезпечує шифрування сигналів, а SRTP - шифрування носіїв.

Забезпечення зв'язку між уніфікованим CM Cisco та CUBE

Для безпечного зв'язку між Cisco Unified CM та CUBE партнерам/клієнтам потрібно використовувати сертифікат із власним підписом або сертифікати з підписом CA.

Для самопідписаних сертифікатів:

  1. CUBE та Cisco Unified CM генерують сертифікати з власним підписом

  2. CUBE експортує сертифікат в Cisco Unified CM

  3. Cisco Unified CM експортує сертифікат в CUBE

Для сертифікатів, підписаних CA:

  1. Клієнт генерує пару ключів і надсилає запит на підписання сертифіката (CSR) до центру сертифікації (ЦС)

  2. ЦС підписує його своїм закритим ключем, створюючи посвідчення особи

  3. Клієнт встановлює список довірених кореневих та посередницьких сертифікатів ЦС та сертифікат ідентичності

Безпека віддалених кінцевих точок

З кінцевими точками мобільного та віддаленого доступу (MRA) сигналізація та носії завжди шифруються між кінцевими точками MRA та вузлами швидкісної дороги. Якщо для кінцевих точок MRA використовується протокол встановлення інтерактивного підключення (ICE), потрібне шифрування сигналів та носіїв кінцевих точок MRA. Однак шифрування сигналізації та носіїв між Expressway-C та внутрішніми серверами Unified CM, внутрішніми кінцевими точками або іншими внутрішніми пристроями вимагає змішаного режиму або SIP OAuth.

Cisco Expressway забезпечує безпечну обхідний та лінійну підтримку брандмауера для реєстрацій Unified CM. Уніфікований CM забезпечує контроль викликів як для мобільних, так і для локальних кінцевих точок. Сигналізація перетинає рішення швидкісної дороги між віддаленою кінцевою точкою та Unified CM. Медіа перетинає рішення швидкісної дороги і ретранслюється між кінцевими точками безпосередньо. Всі носії зашифровані між Expressway-C і мобільною кінцевою точкою.

Будь-яке рішення MRA вимагає Expressway та Unified CM, з MRA-сумісними м'якими клієнтами та/або фіксованими кінцевими точками. Рішення може опціонально включати службу миттєвих повідомлень і присутності та підключення Unity.

Резюме протоколу

У таблиці нижче наведено протоколи та пов'язані служби, які використовуються в уніфікованому рішенні CM.

Таблиця 1. Протоколи та пов'язані з ними служби

Протокол

Безпека

Служба

SIP

TLS

Заснування сесії: Реєстрація, запрошення тощо.

Https

TLS

Вхід, Підготовка/ Конфігурація, Каталог, Візуальна голосова пошта

Мультимедійний вміст

СРТП

ЗМІ: Аудіо, відео, обмін контентом

XMPP

TLS

Обмін миттєвими повідомленнями, присутність, федерація

Для отримання додаткової інформації про конфігурацію MRA дивіться: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

параметри конфігурації

Виділений екземпляр надає партнеру гнучкість для налаштування послуг для кінцевих користувачів за допомогою повного контролю конфігурацій другого дня. Як наслідок, Партнер несе повну відповідальність за належне налаштування послуги Dedicated Instance для середовища кінцевого користувача. Це включає, але не обмежується:

  • Вибір безпечних / незахищених дзвінків, безпечних / незахищених протоколів, таких як SIP / sSIP, http / https тощо, і розуміння будь-яких пов'язаних з цим ризиків.

  • Для всіх MAC-адрес, не налаштованих як secure-SIP у виділеному екземплярі, зловмисник може надсилати повідомлення SIP Register, використовуючи цю MAC-адресу, і мати можливість здійснювати SIP-дзвінки, що призводить до платного шахрайства. Перевага полягає в тому, що зловмисник може зареєструвати свій SIP-пристрій/програмне забезпечення у виділеному екземплярі без авторизації, якщо він знає MAC-адресу пристрою, зареєстрованого у виділеному екземплярі .

  • Політика дзвінків Expressway-E, правила трансформації та пошуку повинні бути налаштовані таким чином, щоб запобігти шахрайству з оплатою проїзду. Для отримання додаткової інформації про запобігання шахрайству з оплатою проїзду за допомогою швидкісних автомагістралей зверніться до розділу «Безпека для швидкісної автомагістралі С» та «Швидкісна автомагістраль Е» у розділі «Співпраця SRND».

  • Конфігурація телефонного плану для забезпечення того, щоб користувачі могли набирати лише дозволені напрямки, наприклад, забороняти національний / міжнародний набір номера, екстрені виклики маршрутизуються належним чином тощо. Для отримання додаткової інформації про застосування обмежень за допомогою абонентського плану зверніться до розділу «Телефонний план » у розділі «Співпраця SRND».

Вимоги до сертифікатів для безпечних з'єднань у виділеному екземплярі

Для виділеного прикладу Cisco надасть домен і підпише всі сертифікати для додатків UC за допомогою загальнодоступного центру сертифікації (CA).

Виділений екземпляр – номери портів і протоколи

У наведених нижче таблицях описано порти та протоколи, які підтримуються у виділеному екземплярі. Порти, які використовуються для конкретного клієнта, залежать від його розгортання та рішення. Протоколи залежать від уподобань клієнта (SCCP vs SIP), наявних локальних пристроїв і рівня безпеки, щоб визначити, які порти слід використовувати в кожному розгортанні.

Виділений екземпляр – порти клієнта

Порти, доступні для клієнтів - між приміщенням клієнта та виділеним екземпляром, наведені в таблиці 1 Виділені порти клієнта екземпляра. Усі перелічені нижче порти призначені для обходу трафіку клієнтів за посиланнями для переходу.


Порт SNMP підтримується тільки для функціональності CER, а не для будь-яких інших сторонніх інструментів моніторингу.


Порти в діапазоні від 5063 до 5080 зарезервовані Cisco для інших хмарних інтеграцій, партнерам або адміністраторам клієнтів рекомендується не використовувати ці порти в своїх конфігураціях.

Таблиця 2. Виділені екземпляри портів клієнтів

Протокол

TCP/UCP

Джерело

Призначення

Вихідний порт

Порт призначення

Мета

ЩСХ

TCP

Клієнт

Застосування UC

Більше 1023

22

Адміністрування

LDAP

TCP

Застосування UC

Зовнішній каталог

Більше 1023

389

Синхронізація каталогів із LDAP клієнта

Https

TCP

Браузер

Застосування UC

Більше 1023

443

Веб-доступ для самообслуговування та адміністративних інтерфейсів

LDAP (БЕЗПЕЧНИЙ)

TCP

Застосування UC

Зовнішній каталог

Більше 1023

636

Синхронізація каталогів із LDAP клієнта

ДКЦПФР

TCP

Кінцевий пристрій

Уніфікований CM, CUCxn

Більше 1023

2000

Сигналізація виклику

ДКЦПФР

TCP

Unified CM

Уніфікований CM, шлюз

Більше 1023

2000

Сигналізація виклику

SCCP (БЕЗПЕЧНИЙ)

TCP

Кінцевий пристрій

Уніфікований CM, CUCxn

Більше 1023

2443

Сигналізація виклику

SCCP (БЕЗПЕЧНИЙ)

TCP

Unified CM

Уніфікований CM, шлюз

Більше 1023

2443

Сигналізація виклику

Перевірка довіри

TCP

Кінцевий пристрій

Unified CM

Більше 1023

2445

Надання послуги перевірки довіри кінцевим точкам

CTI

TCP

Кінцевий пристрій

Unified CM

Більше 1023

2748

Зв'язок між додатками CTI (JTAPI/TSP) та CTIManager

Безпечний CTI

TCP

Кінцевий пристрій

Unified CM

Більше 1023

2749

Безпечне з'єднання між додатками CTI (JTAPI/TSP) та CTIManager

Глобальний каталог LDAP

TCP

Додатки UC

Зовнішній каталог

Більше 1023

3268

Синхронізація каталогів із LDAP клієнта

Глобальний каталог LDAP

TCP

Додатки UC

Зовнішній каталог

Більше 1023

3269

Синхронізація каталогів із LDAP клієнта

Послуга CAPF

TCP

Кінцевий пристрій

Unified CM

Більше 1023

3804

Порт прослуховування проксі-функції центру сертифікації (CAPF) для видачі локально значущих сертифікатів (LSC) на IP-телефони

SIP

TCP

Кінцевий пристрій

Уніфікований CM, CUCxn

Більше 1023

5060

Сигналізація виклику

SIP

TCP

Unified CM

Уніфікований CM, шлюз

Більше 1023

5060

Сигналізація виклику

SIP (БЕЗПЕЧНИЙ)

TCP

Кінцевий пристрій

Unified CM

Більше 1023

5061

Сигналізація виклику

SIP (БЕЗПЕЧНИЙ)

TCP

Unified CM

Уніфікований CM, шлюз

Більше 1023

5061

Сигналізація виклику

СІП (ОАВТ)

TCP

Кінцевий пристрій

Unified CM

Більше 1023

5090

Сигналізація виклику

XMPP

TCP

Джаббер клієнт

Cisco IM&P

Більше 1023

5222

Обмін миттєвими повідомленнями та присутність

Http

TCP

Кінцевий пристрій

Unified CM

Більше 1023

6970

Завантаження конфігурації та зображень у кінцеві точки

Https

TCP

Кінцевий пристрій

Unified CM

Більше 1023

6971

Завантаження конфігурації та зображень у кінцеві точки

Https

TCP

Кінцевий пристрій

Unified CM

Більше 1023

6972

Завантаження конфігурації та зображень у кінцеві точки

Http

TCP

Джаббер клієнт

CUCxn

Більше 1023

7080

Сповіщення голосової пошти

Https

TCP

Джаббер клієнт

CUCxn

Більше 1023

7443

Безпечні сповіщення голосової пошти

Https

TCP

Unified CM

Unified CM

Більше 1023

7501

Використовується службою пошуку Intercluster (ILS) для автентифікації на основі сертифікатів

Https

TCP

Unified CM

Unified CM

Більше 1023

7502

Використовується ILS для аутентифікації на основі пароля

Протокол IMAP

TCP

Джаббер клієнт

CUCxn

Більше 1023

7993

IMAP через TLS

Https

TCP

Браузер, Кінцева точка

Застосування UC

Більше 1023

8443

Веб-доступ для самообслуговування та адміністративних інтерфейсів, UDS

Https

TCP

Прем

Unified CM

Більше 1023

9443

Пошук автентифікованих контактів

Безпечний RTP/SRTP

UDP

Unified CM

Телефон

від 16384 до 32767 *

від 16384 до 32767 *

Media (аудіо) - Музика на утриманні, Благовіщувач, Програмний конференц-міст (Відкритий на основі сигналізації дзвінка)

Безпечний RTP/SRTP

UDP

Телефон

Unified CM

від 16384 до 32767 *

від 16384 до 32767 *

Media (аудіо) - Музика на утриманні, Благовіщувач, Програмний конференц-міст (Відкритий на основі сигналізації дзвінка)

ІФКС

ІФКС

Кінцевий пристрій

Застосування UC

н/д

н/д

Перевірка зв’язку

ІФКС

ІФКС

Застосування UC

Кінцевий пристрій

н/д

н/д

Перевірка зв’язку

* Деякі особливі випадки можуть використовувати більший діапазон.

Виділений екземпляр – ОТТ-порти

Наступний список портів може використовуватися Клієнтами та Партнерами для налаштування мобільного та віддаленого доступу (MRA):

Таблиця 3. Список портів для ОТТ

Протокол

TCP/UCP

Джерело

Призначення

Вихідний порт

Порт призначення

Мета

БЕЗПЕЧНИЙ SIP

TCP

Кінцевий пристрій

Швидкісна автомагістраль E

Більше 1023

5061

Безпечна SIP-сигналізація Для реєстрації MRA та дзвінків

БЕЗПЕЧНИЙ SIP

TCP

Кінцева точка/сервер

Швидкісна автомагістраль E

Більше 1023

5062

Безпечний SIP для B2B дзвінків

БЕЗПЕЧНИЙ RTP /RTCP

UDP

Кінцева точка/сервер

Швидкісна автомагістраль E

Більше 1023

36000-59999

Захищені носії для дзвінків MRA та B2B

HTTPS (БЕЗПЕЧНИЙ)

TLS

Клієнт

Швидкісна автомагістраль E

Більше 1023

8443

CUCM UDS та CUCxn REST для дзвінків MRA

XMLS

TLS

Клієнт

Швидкісна автомагістраль E

Більше 1023

5222

Миттєві повідомлення та присутність

ЧЕРГА

UDP

Клієнт ICE

Швидкісна автомагістраль E

Більше 1023

3478

Переговори ICE/STUN/TURN

БЕЗПЕЧНИЙ RTP /RTCP

Оновлено

Клієнт ICE

Швидкісна автомагістраль E

Більше 1023

24000-29999

Turn media для резервного варіанту ICE

Виділений екземпляр – порти UCCX

Наступний список портів може бути використаний Замовниками і Партнерами для настройки UCCX.

Таблиця 4. Порти Cisco UCCX

Протокол

TCP / UCP

Джерело

Призначення

Вихідний порт

Порт призначення

Мета

ЩСХ

TCP

Клієнт

UCCX

Більше 1023

22

SFTP і SSH

Інформікс

TCP

Клієнт або сервер

UCCX

Більше 1023

1504

Уніфікований порт бази даних ССХ

SIP

UDP й TCP

Сервер SIP GW або MCRP

UCCX

Більше 1023

5065

Зв'язок з віддаленими вузлами GW і MCRP

XMPP

TCP

Клієнт

UCCX

Більше 1023

5223

Безпечне XMPP-з'єднання між сервером Finesse і користувальницькими сторонніми додатками

ССЗ

TCP

Клієнт

UCCX

Більше 1023

6999

Редактор додатків ССХ

Https

TCP

Клієнт

UCCX

Більше 1023

7443

Безпечне з'єднання BOSH між сервером Finesse та робочими столами агента та керівника для зв'язку через HTTPS

Http

TCP

Клієнт

UCCX

Більше 1023

8080

Клієнти, що звітують про живі дані, підключаються до сокету. Io сервер

Http

TCP

Клієнт

UCCX

Більше 1023

8081

Браузер клієнта намагається отримати доступ до веб-інтерфейсу Єдиного розвідувального центру Cisco

Http

TCP

Клієнт

UCCX

Більше 1023

8443

Адміністративний графічний інтерфейс, RTMT, доступ до БД через SOAP

Https

TCP

Клієнт

UCCX

Більше 1023

8444

Веб-інтерфейс Єдиного розвідувального центру Cisco

Https

TCP

Браузерні та REST-клієнти

UCCX

Більше 1023

8445

Безпечний порт для Finesse

Https

TCP

Клієнт

UCCX

Більше 1023

8447

HTTPS - Онлайнова довідка Єдиного розвідувального центру

Https

TCP

Клієнт

UCCX

Більше 1023

8553

Компоненти єдиного входу (SSO) отримують доступ до цього інтерфейсу, щоб знати робочий стан Cisco IdS.

Http

TCP

Клієнт

UCCX

Більше 1023

9080

Клієнти, які намагаються отримати доступ до HTTP-тригерів або документів / підказок / граматик / живих даних.

Https

TCP

Клієнт

UCCX

Більше 1023

9443

Захищений порт, який використовується для реагування на запити клієнтів, які намагаються отримати доступ до тригерів HTTPS

TCP

TCP

Клієнт

UCCX

Більше 1023

12014

Це порт, куди клієнти, що звітують з живими даними, можуть підключатися до сокету. Io сервер

TCP

TCP

Клієнт

UCCX

Більше 1023

12015

Це порт, куди клієнти, що звітують з живими даними, можуть підключатися до сокету. Io сервер

CTI

TCP

Клієнт

UCCX

Більше 1023

12028

Сторонній CTI-клієнт до ССХ

RTP(Медіа)

TCP

Кінцевий пристрій

UCCX

Більше 1023

Більше 1023

Медіапорт за потреби динамічно відкривається

RTP(Медіа)

TCP

Клієнт

Кінцевий пристрій

Більше 1023

Більше 1023

Медіапорт за потреби динамічно відкривається

Безпека клієнта

Захист Jabber і Webex за допомогою SIP OAuth

Клієнти Jabber і Webex автентифікуються за допомогою токена OAuth замість локально значущого сертифіката (LSC), який не вимагає ввімкнення проксі-функції центру сертифікації (CAPF) (також для MRA). SIP OAuth, що працює зі змішаним режимом або без нього, був представлений в Cisco Unified CM 12.5(1), Jabber 12.5 і Expressway X12.5.

У Cisco Unified CM 12.5 ми маємо нову опцію в профілі безпеки телефону, яка дозволяє шифрування без LSC/CAPF, використовуючи єдиний захист транспортного рівня (TLS) + токен OAuth у SIP REGISTER. Вузли Expressway-C використовують API адміністративної xml-веб-служби (AXL) для інформування Cisco Unified CM про SN/SAN у своєму сертифікаті. Cisco Unified CM використовує цю інформацію для перевірки сертифікату Exp-C при встановленні взаємного TLS-з'єднання.

SIP OAuth забезпечує шифрування носіїв і сигналів без сертифіката кінцевих точок (LSC).

Cisco Jabber використовує ефемерні порти і захищені порти 6971 і 6972 через HTTPS-з'єднання з сервером TFTP для завантаження файлів конфігурації. Порт 6970 - незахищений порт для завантаження через HTTP.

Детальніше про конфігурацію SIP OAuth: РежимSIP OAuth.

Вимоги до DNS

Для виділеного екземпляра Cisco надає FQDN для служби в кожному регіоні з наступним форматом <customer>.<region>. wxc-di.webex.com наприклад, xyz.amer.wxc-di.webex.com.

Цінність «клієнта» забезпечується адміністратором як частина майстра налаштування першого разу (FTSW). Для отримання додаткових відомостей зверніться до розділу Активація виділеної служби екземплярів.

Записи DNS для цього FQDN повинні бути вирішені з внутрішнього DNS-сервера клієнта для підтримки локальних пристроїв, що підключаються до виділеного екземпляра. Щоб полегшити роздільну здатність, клієнту потрібно налаштувати умовний експедитор, для цього FQDN, на своєму DNS-сервері, що вказує на службу ВИДІЛЕНОГО ЕКЗЕМПЛЯРА DNS. Служба DNS виділеного екземпляра є регіональною, і до неї можна дістатися за допомогою пірінгу до виділеного екземпляра, використовуючи такі IP-адреси, як зазначено в таблиці нижче Виділений екземпляр DNS IP-адресаслужби DNS.

Таблиця 5. Ip-адреса служби DNS виділеного екземпляра

Регіон/DC

Ip-адреса служби DNS виділеного екземпляра

Приклад умовного пересилання

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

ЛОН

178.215.138.100

АМС

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

ТОК

103.232.71.100

Гріх

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Мел

178.215.128.100

Сід

178.215.128.228


Опція ping відключена для вищезгаданих IP-адрес DNS-серверів з міркувань безпеки.

Поки не буде запроваджено умовну переадресацію, пристрої не зможуть зареєструватися у виділеному екземплярі з внутрішньої мережі клієнтів за посиланнями для переходу. Для реєстрації через мобільний і віддалений доступ (MRA) не потрібна умовна переадресація, оскільки всі необхідні зовнішні записи DNS для полегшення MRA будуть попередньо надані Cisco.

Під час використання програми Webex як програмного клієнта для дзвінків у виділеному екземплярі профіль менеджера UC потрібно налаштувати в Центрі керування для домену голосової служби (VSD) кожного регіону. Для отримання додаткової інформації зверніться до профілів менеджера UC у центрі керування Cisco Webex. Додаток Webex зможе автоматично вирішити проблему Expressway Edge клієнта без будь-якого втручання кінцевого користувача.


Домен голосової послуги буде наданий клієнту як частина документа доступу партнера після завершення активації послуги.