Вимоги до мережі для виділеного екземпляра

Webex Calling Dedicated Instance є частиною портфеля Cisco Cloud Calling, що базується на технології співпраці Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance пропонує рішення для передачі голосу, відео, повідомлень та мобільності з функціями та перевагами IP-телефонів Cisco, мобільних пристроїв та настільних клієнтів, які надійно підключаються до Dedicated Instance.

Ця стаття призначена для мережевих адміністраторів, зокрема адміністраторів брандмауера та проксі-безпеки, які хочуть використовувати виділений екземпляр у своїй організації.

Огляд безпеки: Безпека в шарах

Виділений екземпляр використовує багаторівневий підхід до безпеки. Шари включають:

  • Фізичний доступ

  • Мережа

  • Термінальні пристрої

  • Програми UC

Наступні розділи описують рівні безпеки в розгортаннях виділених екземплярів.

Фізична безпека

Важливо забезпечити фізичну безпеку приміщень Equinix Meet-Me та виділених центрів обробки даних Cisco. Коли фізична безпека порушена, можуть бути розпочаті прості атаки, такі як переривання обслуговування, шляхом відключення живлення комутаторів клієнта. З фізичним доступом зловмисники могли отримати доступ до серверних пристроїв, скинути паролі та отримати доступ до комутаторів. Фізичний доступ також сприяє більш складним атакам, таким як атаки «людина посередині», тому другий рівень безпеки, мережева безпека, є критичним.

Самошифруючі диски використовуються в виділених центрах обробки даних екземплярів, які розміщують програми UC.

Щоб дізнатися більше про загальні правила безпеки, перегляньте документацію за наступним посиланням: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Безпека мережі

Партнери повинні переконатися, що всі елементи мережі захищені в інфраструктурі Dedicated Instance (яка з 'єднується через Equinix). Відповідальність партнера полягає в забезпеченні найкращих практик безпеки, таких як:

  • Окремий VLAN для голосу та даних

  • Увімкнути безпеку порту, яка обмежує кількість MAC-адрес, дозволених ДЛЯ кожного порту, проти затоплення таблиці CAM

  • Захист джерела IP від підроблених IP-адрес

  • Динамічна перевірка ARP (DAI) перевіряє протокол вирішення адрес (ARP) та безоплатну ARP (GARP) на наявність порушень (проти підробки ARP)

  • 802.1x обмежує доступ до мережі для автентифікації пристроїв на призначених VLAN (телефони підтримують 802.1x)

  • Налаштування якості обслуговування (QoS) для відповідного маркування голосових пакетів

  • Конфігурації портів брандмауера для блокування будь-якого іншого трафіку

Безпека кінцевих пристроїв

Кінцеві точки Cisco підтримують стандартні функції безпеки, такі як підписана прошивка, захищене завантаження (вибрані моделі), встановлений виробником сертифікат (Mic) та підписані файли конфігурації, які забезпечують певний рівень безпеки для кінцевих точок.

Крім того, партнер або клієнт може забезпечити додаткову безпеку, наприклад:

  • Шифрування послуг IP-телефонії (через HTTPS) для таких послуг, як розширення мобільності

  • Видавати локально значущі сертифікати (LSC) з функції проксі-сертифікату центру (CAPF) або публічного центру сертифікації (CA)

  • Шифрувати файли конфігурації

  • Шифрування носіїв інформації та сигналізація

  • Вимкніть ці налаштування, якщо вони не використовуються: Порт ПК, Доступ VLAN голосу ПК, Безкоштовний ARP, Веб-доступ, Кнопка налаштувань, SSH, консоль

Впровадження механізмів безпеки у виділеному екземплярі запобігає крадіжці особистих даних телефонів та сервера уніфікованого керування, фальсифікації даних та фальсифікації сигналу виклику/медіапотоку.

Виділений екземпляр по мережі:

  • Встановлює та підтримує аутентифіковані потоки зв 'язку

  • Цифровий підпис файлів перед перенесенням файлу на телефон

  • Шифрує медіапотоки та сигнали дзвінків між уніфікованими IP-телефонами Cisco

Налаштування безпеки за замовчуванням

Безпека за замовчуванням забезпечує наступні автоматичні функції безпеки для уніфікованих IP-телефонів Cisco:

  • Підпис файлів конфігурації телефону

  • Підтримка шифрування файлів конфігурації телефону

  • HTTPS з Tomcat та іншими веб-сервісами (MIDlets)

Для Unified CM Release 8.0 пізніше ці функції безпеки надаються за замовчуванням без запуску клієнта списку довіри сертифікатів (CTL).

Служба перевірки довіри

Оскільки в мережі є велика кількість телефонів, а IP-телефони мають обмежену пам 'ять, Cisco Unified CM діє як віддалене сховище довіри через службу перевірки довіри (TVS), так що зберігання довіри сертифікатів не потрібно розміщувати на кожному телефоні. IP-телефони Cisco звертаються до сервера TVS для перевірки, оскільки вони не можуть перевірити підпис або сертифікат через файли CTL або ITL. Наявність центрального сховища довіри простіше керувати, ніж наявність сховища довіри на кожному IP-телефоні Cisco Unified.

ТЕЛЕВІЗОРИ дозволяють уніфікованим IP-телефонам Cisco автентифікувати сервери додатків, такі як служби EM, каталоги та MIDlet, під час встановлення HTTPS.

Початковий список довіри

Файл початкового списку довіри (ITL) використовується для початкової безпеки, так що кінцеві точки можуть довіряти Cisco Unified CM. МРЖО не потребує явного ввімкнення жодних функцій безпеки. Файл ITL створюється автоматично під час встановлення кластера. Приватний ключ сервера Unified CM Trivial File Transfer Protocol (TFTP) використовується для підписання файлу ITL.

Коли кластер або сервер Cisco Unified CM знаходиться в незахищеному режимі, файл ITL завантажується на кожен підтримуваний IP-телефон Cisco. Партнер може переглядати вміст ITL-файлу за допомогою команди CLI, admin:show itl.

IP-телефони Cisco потребують файлу ITL для виконання наступних завдань:

  • Безпечне спілкування з CAPF, необхідна умова для підтримки шифрування файлів конфігурації

  • Автентифікувати підпис конфігураційного файлу

  • Аутентифікація серверів додатків, таких як служби EM, каталог та MIDlet під час встановлення HTTPS за допомогою ТЕЛЕВІЗОРІВ

Cisco CTL

Аутентифікація пристроїв, файлів і сигналів залежить від створення файла довірчого списку сертифікатів (CTL), який створюється, коли партнер або клієнт встановлює і налаштовує клієнт довірчого списку сертифікатів Cisco.

Файл CTL містить записи для наступних серверів або маркерів безпеки:

  • Маркер безпеки системного адміністратора (SAST)

  • Служби Cisco CallManager і Cisco TFTP, які працюють на одному сервері

  • Функція проксі-сертифікації центру сертифікації (CAPF)

  • Сервер(и) TFTP

  • Брандмауер ASA

Файл CTL містить сертифікат сервера, відкритий ключ, серійний номер, підпис, ім 'я емітента, ім' я суб 'єкта, функцію сервера, ім' я DNS та IP-адресу для кожного сервера.

Безпека телефону з CTL забезпечує наступні функції:

  • Аутентифікація завантажених файлів TFTP (конфігурація, локаль, рингліст тощо) за допомогою ключа підпису

  • Шифрування файлів конфігурації TFTP за допомогою ключа підпису

  • Зашифрована сигналізація виклику для IP-телефонів

  • Зашифрований аудіо дзвінка (медіа) для IP-телефонів

Безпека IP-телефонів Cisco у виділеному екземплярі

Виділений екземпляр забезпечує реєстрацію кінцевої точки та обробку викликів. Сигналізація між уніфікованим CM Cisco і кінцевими точками базується на протоколі безпечного управління клієнтами (SCCP) або протоколі ініціації сеансу (SIP) і може бути зашифрована за допомогою безпеки транспортного рівня (TLS). Носій від/до кінцевих точок базується на транспортному протоколі реального часу (RTP), а також може бути зашифрований за допомогою Secure RTP (SRTP).

Увімкнення змішаного режиму на Unified CM дозволяє шифрувати сигнальний та медіа-трафік від кінцевих точок Cisco та до них.

Захищені програми UC

Увімкнення змішаного режиму у виділеному екземплярі

Змішаний режим увімкнено за замовчуванням у виділеному екземплярі.

Увімкнення змішаного режиму у виділеному екземплярі дає можливість виконувати шифрування сигнального та медіа-трафіку від кінцевих точок Cisco та до них.

У випуску Cisco Unified CM 12.5(1) для клієнтів Jabber та Webex було додано нову опцію для шифрування сигналів та носіїв на основі SIP OAuth замість змішаного режиму / CTL. Тому в Unified CM версії 12.5(1) SIP OAuth і SRTP можуть бути використані для шифрування сигналів і носіїв для клієнтів Jabber або Webex. Наразі для IP-телефонів Cisco та інших кінцевих точок Cisco потрібно увімкнути змішаний режим. Існує план додати підтримку SIP OAuth в кінцевих точках 7800/8800 в майбутньому випуску.

Безпека обміну голосовими повідомленнями

Cisco Unity Connection з 'єднується з Unified CM через порт TLS. Коли режим безпеки пристрою є незахищеним, Cisco Unity Connection з 'єднується з Unified CM через порт SCCP.

Щоб налаштувати безпеку для уніфікованих портів голосових повідомлень CM та пристроїв Cisco Unity, на яких працюють пристрої SCCP або пристрої Cisco Unity Connection, на яких працює SCCP, партнер може вибрати режим безпеки безпечного пристрою для порту. Якщо вибрати аутентифікований порт голосової пошти, відкриється TLS-з 'єднання, яке автентифікує пристрої за допомогою взаємного обміну сертифікатами (кожен пристрій приймає сертифікат іншого пристрою). Якщо вибрати зашифрований порт голосової пошти, система спочатку автентифікує пристрої, а потім надсилає зашифровані голосові потоки між пристроями.

Щоб дізнатися більше про порти голосових повідомлень безпеки, зверніться до розділу: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Безпека для SRST, магістралей, шлюзів, КУБІВ/SBC

Шлюз Cisco Unified Survivable Remote Site Telephony (SRST) забезпечує обмежені завдання з обробки викликів, якщо уніфікований CM Cisco на виділеному екземплярі не може завершити виклик.

Безпечні шлюзи з підтримкою SRST містять самопідписаний сертифікат. Після того, як партнер виконує завдання конфігурації SRST в Unified CM Administration, Unified CM використовує TLS-з 'єднання для автентифікації за допомогою послуги постачальника сертифікатів у шлюзі з підтримкою SRST. Потім Unified CM отримує сертифікат від шлюзу з підтримкою SRST і додає сертифікат до бази даних Unified CM.

Після того, як партнер скидає залежні пристрої в Unified CM Administration, TFTP-сервер додає сертифікат шлюзу з підтримкою SRST до файлу cnf.xml телефону та надсилає файл на телефон. Потім захищений телефон використовує TLS-з 'єднання для взаємодії зі шлюзом з підтримкою SRST.

Рекомендується мати захищені магістралі для викликів, що надходять від Cisco Unified CM до шлюзу для вихідних викликів PSTN або проходять через Cisco Unified Border Element (CUBE).

Магістралі SIP можуть підтримувати безпечні виклики як для сигналізації, так і для носіїв; TLS забезпечує шифрування сигналізації, а SRTP забезпечує шифрування носіїв.

Захист зв’язку між Cisco Unified CM і CUBE

Для безпечного зв 'язку між Cisco Unified CM і CUBE партнери/клієнти повинні використовувати або самопідписаний сертифікат, або сертифікати, підписані CA.

Для самопідписаних сертифікатів:

  1. CUBE і Cisco Unified CM створюють самопідписані сертифікати

  2. CUBE експортує сертифікат до Cisco Unified CM

  3. Cisco Unified CM експортує сертифікат в КУБ

Для сертифікатів, підписаних CA:

  1. Клієнт генерує пару ключів і надсилає запит на підписання сертифіката (CSR) до центру сертифікації (CA)

  2. CA підписує його своїм закритим ключем, створюючи сертифікат ідентифікації

  3. Клієнт встановлює список довірених кореневих і посередницьких сертифікатів ЦС та сертифікат ідентифікації

Безпека для віддалених кінцевих пристроїв

З кінцевими точками мобільного та віддаленого доступу (MRA) сигналізація та носії завжди шифруються між кінцевими точками MRA та вузлами швидкісної автомагістралі. Якщо для кінцевих точок MRA використовується протокол Interactive Connectivity Establishment (ICE), необхідна сигналізація та шифрування медіа кінцевих точок MRA. Однак шифрування сигналізації та носіїв між Expressway-C та внутрішніми уніфікованими серверами CM, внутрішніми кінцевими точками або іншими внутрішніми пристроями вимагає змішаного режиму або SIP OAuth.

Cisco Expressway забезпечує безпечне проходження брандмауера та підтримку лінійної сторони для уніфікованих реєстрацій CM. Уніфікований CM забезпечує контроль викликів як для мобільних, так і для локальних кінцевих точок. Сигналізація проходить рішення Expressway між віддаленою кінцевою точкою та уніфікованим CM. Media проходить рішення Expressway і передається безпосередньо між кінцевими точками. Всі носії зашифровані між Expressway-C і мобільною кінцевою точкою.

Будь-яке рішення MRA вимагає Expressway та Unified CM, з MRA-сумісними м 'якими клієнтами та/або фіксованими кінцевими точками. Рішення може необов 'язково включати службу обміну повідомленнями, службу присутності та підключення до Unity.

Зведення протоколу

У наступній таблиці наведено протоколи та пов 'язані служби, що використовуються в рішенні Unified CM.

Таблиця 1. Протоколи та супутні послуги

Протокол

Безпека

Служба

SIP

TLS

Створення сесії: Реєстрація, запрошення тощо.

HTTPS

TLS

Вхід, Надання/Конфігурація, Каталог, Візуальна голосова пошта

Мультимедійний вміст

SRTP

ЗМІ: Аудіо, відео, спільний доступ до вмісту

XMPP

TLS

Миттєвий обмін повідомленнями, Присутність, Федерація

Для отримання додаткової інформації про конфігурацію MRA див.: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Параметри конфігурації

Виділений екземпляр надає партнеру гнучкість у налаштуванні послуг для кінцевих користувачів завдяки повному контролю конфігурацій другого дня. В результаті Партнер несе повну відповідальність за належне налаштування сервісу Dedicated Instance для середовища кінцевого користувача. Це включає, але не обмежується:

  • Вибір безпечних/незахищених дзвінків, безпечних/незахищених протоколів, таких як SIP/sSIP, http/https тощо, і розуміння будь-яких пов 'язаних з ними ризиків.

  • Для всіх MAC-адрес, не налаштованих як безпечні SIP у виділеному екземплярі, зловмисник може надіслати повідомлення SIP Register, використовуючи цю MAC-адресу, і мати можливість здійснювати SIP-дзвінки, що призводить до шахрайства. Первіс полягає в тому, що зловмисник може зареєструвати свій SIP-пристрій/програмне забезпечення в виділеному екземплярі без авторизації, якщо він знає MAC-адресу пристрою, зареєстрованого в виділеному екземплярі.

  • Політики викликів Expressway-E, правила перетворення та пошуку повинні бути налаштовані для запобігання шахрайству з оплатою дорожнього збору. Для отримання додаткової інформації про запобігання шахрайству за допомогою платних автомагістралей зверніться до розділу Безпека для швидкісної автомагістралі C та швидкісної автомагістралі E Співпраці SRND.

  • Конфігурація плану набору, щоб користувачі могли набирати лише ті пункти призначення, які дозволені, наприклад, заборонити національний/міжнародний набір, правильно маршрутизувати екстрені дзвінки тощо. Для отримання додаткової інформації про застосування обмежень за допомогою плану набору див. розділ «План набору» в розділі «Співпраця» SRND.

Вимоги до сертифіката для безпечних підключень у виділеному екземплярі

Для виділеного екземпляра Cisco надасть домен і підпише всі сертифікати для додатків UC за допомогою публічного центру сертифікації (CA).

Виділений екземпляр – номери портів і протоколи

Наступні таблиці описують порти та протоколи, які підтримуються в виділеному екземплярі. Порти, які використовуються для даного клієнта, залежать від розгортання та рішення клієнта. Протоколи залежать від бажаних параметрів клієнта (SCCP або SIP), наявних локальних пристроїв і рівня безпеки для визначення портів, які використовуватимуться в кожному розгортанні.


 

У виділеному екземплярі не дозволяється трансляція мережевих адрес (NAT) між кінцевими пристроями та Unified CM, оскільки деякі функції потоку викликів не працюватимуть, наприклад функція під час виклику.

Виділений екземпляр – порти клієнтів

Порти, доступні для клієнтів - між локальним та виділеним екземпляром Клієнта, наведені в Таблиці 1 Порти клієнта виділеного екземпляра. Всі порти, перераховані нижче, призначені для передачі клієнтами трафіку через пірингові посилання.


 

Порт SNMP за замовчуванням відкритий лише для Cisco Emergency Responder для підтримки його функцій. Оскільки ми не підтримуємо партнерів або клієнтів, які здійснюють моніторинг застосунків UC, розгорнутих у хмарі Dedicated Instance, ми не дозволяємо відкривати порт SNMP для будь-яких інших програм UC.


 

Порти в діапазоні від 5063 до 5080 зарезервовано компанією Cisco для інших хмарних інтеграцій, адміністраторам партнерів або клієнтів рекомендується не використовувати ці порти в своїх конфігураціях.

Таблиця 2. Порти клієнта виділеного екземпляра

Протокол

TCP або UDP

Джерело

Призначення

Порт джерела

Порт призначення

Мета

SSH

TCP

Клієнт

Програми UC


 
Не дозволено для програм Cisco Expressway.

Більше 1023

22

Адміністрування

TFTP

UDP

Кінцевий пристрій

Unified CM

Більше 1023

69

Підтримка застарілих кінцевих точок

LDAP

TCP

Програми UC

Зовнішній каталог

Більше 1023

389

Синхронізація каталогу з LDAP клієнта

HTTPS

TCP

Браузер

Програми UC

Більше 1023

443

Веб-доступ для самообслуговування та адміністративних інтерфейсів

Вихідна пошта (БЕЗПЕЧНА)

TCP

Застосунок UC

CUCxn

Більше 1023

587

Використовується для створення та надсилання безпечних повідомлень будь-яким призначеним одержувачам

LDAP (БЕЗПЕЧНИЙ)

TCP

Програми UC

Зовнішній каталог

Більше 1023

636

Синхронізація каталогу з LDAP клієнта

H323

TCP

Шлюз

Unified CM

Більше 1023

1720

Сигналізація виклику

H323

TCP

Unified CM

Unified CM

Більше 1023

1720

Сигналізація виклику

SCCP

TCP

Кінцевий пристрій

Уніфікований CM, CUCxn

Більше 1023

2000

Сигналізація виклику

SCCP

TCP

Unified CM

Уніфікований CM, шлюз

Більше 1023

2000

Сигналізація виклику

MGCP

UDP

Шлюз

Шлюз

Більше 1023

2427

Сигналізація виклику

Backhaul MGCP

TCP

Шлюз

Unified CM

Більше 1023

2428

Сигналізація виклику

SCCP (БЕЗПЕЧНИЙ)

TCP

Кінцевий пристрій

Уніфікований CM, CUCxn

Більше 1023

2443

Сигналізація виклику

SCCP (БЕЗПЕЧНИЙ)

TCP

Unified CM

Уніфікований CM, шлюз

Більше 1023

2443

Сигналізація виклику

Верифікація довіри

TCP

Кінцевий пристрій

Unified CM

Більше 1023

2445

Надання послуг перевірки довіри кінцевим точкам

CTI

TCP

Кінцевий пристрій

Unified CM

Більше 1023

2748

Зв 'язок між програмами CTI (JTAPI/TSP) та CTIManager

Secure CTI

TCP

Кінцевий пристрій

Unified CM

Більше 1023

2749

Безпечне з 'єднання між програмами CTI (JTAPI/TSP) та CTIManager

Глобальний каталог LDAP

TCP

Програми UC

Зовнішній каталог

Більше 1023

3268

Синхронізація каталогу з LDAP клієнта

Глобальний каталог LDAP

TCP

Програми UC

Зовнішній каталог

Більше 1023

3269

Синхронізація каталогу з LDAP клієнта

CAPF Service

TCP

Кінцевий пристрій

Unified CM

Більше 1023

3804

Проксі-функція центру сертифікації (CAPF) Порт прослуховування для видачі локально значущих сертифікатів (LSC) на IP-телефони

SIP

TCP

Кінцевий пристрій

Уніфікований CM, CUCxn

Більше 1023

5060

Сигналізація виклику

SIP

TCP

Unified CM

Уніфікований CM, шлюз

Більше 1023

5060

Сигналізація виклику

SIP (БЕЗПЕЧНИЙ)

TCP

Кінцевий пристрій

Unified CM

Більше 1023

5061

Сигналізація виклику

SIP (БЕЗПЕЧНИЙ)

TCP

Unified CM

Уніфікований CM, шлюз

Більше 1023

5061

Сигналізація виклику

SIP (OAUTH)

TCP

Кінцевий пристрій

Unified CM

Більше 1023

5090

Сигналізація виклику

XMPP

TCP

Клієнт Jabber

Cisco IM&P

Більше 1023

5222

Миттєвий обмін повідомленнями та присутність

HTTP

TCP

Кінцевий пристрій

Unified CM

Більше 1023

6970

Завантаження конфігурації та зображень на кінцеві точки

HTTPS

TCP

Кінцевий пристрій

Unified CM

Більше 1023

6971

Завантаження конфігурації та зображень на кінцеві точки

HTTPS

TCP

Кінцевий пристрій

Unified CM

Більше 1023

6972

Завантаження конфігурації та зображень на кінцеві точки

HTTP

TCP

Клієнт Jabber

CUCxn

Більше 1023

7080

Сповіщення голосовою поштою

HTTPS

TCP

Клієнт Jabber

CUCxn

Більше 1023

7443

Безпечні сповіщення голосової пошти

HTTPS

TCP

Unified CM

Unified CM

Більше 1023

7501

Використовується службою пошуку між кластерами (ILS) для автентифікації на основі сертифікатів

HTTPS

TCP

Unified CM

Unified CM

Більше 1023

7502

Використовується ILS для автентифікації на основі пароля

IMAP

TCP

Клієнт Jabber

CUCxn

Більше 1023

7993

IMAP через TLS

HTTP

TCP

Кінцевий пристрій

Unified CM

Більше 1023

8080

URI каталогу для застарілої підтримки кінцевої точки

HTTPS

TCP

Браузер, кінцева точка

Програми UC

Більше 1023

8443

Веб-доступ для самообслуговування та адміністративних інтерфейсів, UDS

HTTPS

TCP

Телефон

Unified CM

Більше 1023

9443

Пошук автентичних контактів

Https

TCP

Кінцевий пристрій

Unified CM

Більше 1023

9444

Функція керування гарнітурою

Безпечний RTP/SRTP

UDP

Unified CM

Телефон

від 16384 до 32767 *

від 16384 до 32767 *

Медіа (аудіо) - Музика на утриманні, сповіщувач, програмне забезпечення конференц-міст (відкритий на основі сигналізації виклику)

Безпечний RTP/SRTP

UDP

Телефон

Unified CM

від 16384 до 32767 *

від 16384 до 32767 *

Медіа (аудіо) - Музика на утриманні, сповіщувач, програмне забезпечення конференц-міст (відкритий на основі сигналізації виклику)

КОБРИ

TCP

Клієнт

CUCxn

Більше 1023

20532

Резервне копіювання та відновлення набору програм

ICMP

ICMP

Кінцевий пристрій

Програми UC

н/д

н/д

Перевірка зв’язку

ICMP

ICMP

Програми UC

Кінцевий пристрій

н/д

н/д

Перевірка зв’язку

DNS UDP й TCP

Переадресатор DNS

Виділені DNS-сервери екземплярів

Більше 1023

53

Переадресатори DNS клієнта на сервери DNS виділеного екземпляра. Див Вимоги до DNS для отримання додаткової інформації.

* У деяких особливих випадках може використовуватися більший діапазон.

Виділений екземпляр – порти OTT

Наступний порт може використовуватися клієнтами та партнерами для налаштування мобільного та віддаленого доступу (MRA):

Таблиця 3. Порт для OTT

Протокол

TCP/UCP

Джерело

Призначення

Порт джерела

Порт призначення

Мета

БЕЗПЕЧНИЙ RTP/RTCP

UDP

Експрес С

Клієнт

Більше 1023

36000-59999

Безпечний носій для дзвінків MRA та B2B

Міжопераційний SIP-транк між кількома клієнтами та виділеним екземпляром (тільки для транка на основі реєстрації)

Наведений далі список портів має бути дозволено на брандмауері клієнта для SIP-транка на основі реєстрації, що підключається між кількома клієнтами та виділеним екземпляром.

Таблиця 4. Порт для транків на основі реєстрації

Протокол

TCP/UCP

Джерело

Призначення

Порт джерела

Порт призначення

Мета

RTP/RTCP

UDP

Webex Calling Multitenant

Клієнт

Більше 1023

8000-48198

Медіафайли з Webex Calling Multitenant

Виділений екземпляр – порти UCCX

Наступний список портів може бути використаний Клієнтами та Партнерами для налаштування UCCX.

Таблиця 5. Порти Cisco UCCX

Протокол

TCP / UCP

Джерело

Призначення

Порт джерела

Порт призначення

Мета

SSH

TCP

Клієнт

UCCX

Більше 1023

22

SFTP і SSH

Informix

TCP

Клієнт або сервер

UCCX

Більше 1023

1504

Порт бази даних Contact Center Express

SIP

UDP й TCP

Сервер SIP GW або MCRP

UCCX

Більше 1023

5065

Зв 'язок з віддаленими вузлами GW та MCRP

XMPP

TCP

Клієнт

UCCX

Більше 1023

5223

Безпечне з 'єднання XMPP між сервером Finesse та спеціальними сторонніми додатками

ССЗ

TCP

Клієнт

UCCX

Більше 1023

6999

Редактор для програм CCX

HTTPS

TCP

Клієнт

UCCX

Більше 1023

7443

Захищене з 'єднання BOSH між сервером Finesse та робочими столами агента та керівника для зв' язку через HTTPS

HTTP

TCP

Клієнт

UCCX

Більше 1023

8080

Клієнти звітування з реальними даними підключаються до сервера socket.IO

HTTP

TCP

Клієнт

UCCX

Більше 1023

8081

Клієнтський браузер намагається отримати доступ до веб-інтерфейсу Cisco Unified Intelligence Center

HTTP

TCP

Клієнт

UCCX

Більше 1023

8443

GUI адміністратора, RTMT, доступ до БД через SOAP

HTTPS

TCP

Клієнт

UCCX

Більше 1023

8444

Веб-інтерфейс Cisco Unified Intelligence Center

HTTPS

TCP

Браузер І клієнти REST

UCCX

Більше 1023

8445

Безпечний порт для Finesse

HTTPS

TCP

Клієнт

UCCX

Більше 1023

8447

HTTPS - онлайн-допомога Єдиного розвідувального центру

HTTPS

TCP

Клієнт

UCCX

Більше 1023

8553

Компоненти єдиного входу (SSO) отримують доступ до цього інтерфейсу, щоб дізнатися робочий стан Cisco IdS.

HTTP

TCP

Клієнт

UCCX

Більше 1023

9080

Клієнти, які намагаються отримати доступ до http тригерів або документів / підказки / граматики /даних в реальному часі.

HTTPS

TCP

Клієнт

UCCX

Більше 1023

9443

Безпечний порт, який використовується для реагування на клієнтів, які намагаються отримати доступ до тригерів HTTPS

TCP

TCP

Клієнт

UCCX

Більше 1023

12014

Це порт, через який клієнти звітування з реальними даними можуть підключатися до сервера socket.IO

TCP

TCP

Клієнт

UCCX

Більше 1023

12015

Це порт, через який клієнти звітування з реальними даними можуть підключатися до сервера socket.IO

CTI

TCP

Клієнт

UCCX

Більше 1023

12028

Сторонній клієнт CTI для CCX

RTP(ЗМІ)

TCP

Кінцевий пристрій

UCCX

Більше 1023

Більше 1023

Медіапорт відкривається динамічно за необхідності

RTP(ЗМІ)

TCP

Клієнт

Кінцевий пристрій

Більше 1023

Більше 1023

Медіапорт відкривається динамічно за необхідності

Безпека клієнта

Захист Jabber і Webex за допомогою SIP OAuth

Клієнти Jabber та Webex аутентифікуються через OAuth-токен замість локально значущого сертифіката (LSC), який не вимагає включення функції проксі-сертифіката (CAPF) (також для MRA). SIP OAuth, що працює зі змішаним режимом або без нього, був представлений в Cisco Unified CM 12.5(1), Jabber 12.5 і Expressway X12.5.

У Cisco Unified CM 12.5 ми маємо нову опцію в профілі безпеки телефону, яка дозволяє шифрувати без LSC/CAPF, використовуючи єдиний захист транспортного рівня (TLS) + OAuth-токен в РЕГІСТРІ SIP. Вузли Expressway-C використовують API адміністративної веб-служби XML (AXL) для інформування Cisco Unified CM про SN/SAN у своєму сертифікаті. Cisco Unified CM використовує цю інформацію для перевірки сертифіката Exp-C при встановленні взаємного TLS-з 'єднання.

SIP OAuth дозволяє шифрувати носії та сигнали без сертифіката кінцевої точки (LSC).

Cisco Jabber використовує ефемерні порти і захищені порти 6971 і 6972 через з 'єднання HTTPS з TFTP-сервером для завантаження конфігураційних файлів. Порт 6970 є незахищеним портом для завантаження через http.

Докладніше про конфігурацію SIP OAuth: Режим SIP OAuth.

Вимоги до DNS

Для виділеного екземпляра Cisco надає FQDN для служби в кожному регіоні з наступним форматом<customer>. .wxc-di.webex.com<region>, наприклад, xyz.amer.wxc-di.webex.com.

Значення «клієнт» надається адміністратором як частина майстра налаштування першого разу (FTSW). Для отримання додаткової інформації див. розділ Активація служби виділених екземплярів.

Записи DNS для цієї FQDN повинні бути розв 'язуваними з внутрішнього DNS-сервера клієнта для підтримки локальних пристроїв, що підключаються до виділеного екземпляра. Щоб полегшити вирішення, клієнту потрібно налаштувати умовний експедитор для цього FQDN на своєму DNS-сервері, який вказує на службу DNS виділеного екземпляра. Служба Dedicated Instance DNS є регіональною і може бути досягнута через вузол до Dedicated Instance, використовуючи наступні IP-адреси, як зазначено в таблиці нижче Dedicated Instance DNS Service IP Address.

Таблиця 6. Виділений екземпляр IP-адреса служби DNS

Регіон/округ Колумбія

Виділений екземпляр IP-адреса служби DNS

Приклад умовного переадресації

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

ЛОН

178.215.138.100

AMS

178.215.138.228

ЄС

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

ГРІХ

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

СІД

178.215.128.228


 

Параметр ping вимкнено для вищезгаданих IP-адрес DNS-сервера з міркувань безпеки.

Поки умовна переадресація не буде виконана, пристрої не зможуть зареєструватися в виділеному екземплярі з внутрішньої мережі клієнтів через пірингові посилання. Умовна переадресація не потрібна для реєстрації через мобільний та віддалений доступ (MRA), оскільки всі необхідні зовнішні записи DNS для полегшення MRA будуть попередньо передбачені компанією Cisco.

При використанні програми Webex в якості програмного клієнта для виклику на виділеному екземплярі профіль менеджера UC потрібно налаштувати в Центрі керування для домену голосової служби (VSD) кожного регіону. Для отримання додаткової інформації зверніться до профілів UC Manager в Cisco Webex Control Hub. Додаток Webex зможе автоматично вирішувати проблему Expressway Edge клієнта без будь-якого втручання кінцевого користувача.


 

Домен голосової служби буде наданий клієнту як частина документа про доступ партнера після завершення активації служби.