Вимоги до мережі для виділеного екземпляра

Webex Calling Dedicated Instance є частиною портфоліо хмарних дзвінків Cisco, що працює на основі технології співпраці Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance пропонує рішення для голосового зв'язку, відео, обміну повідомленнями та мобільності з функціями та перевагами IP-телефонів Cisco, мобільних пристроїв та настільних клієнтів, які безпечно підключаються до спеціального екземпляра.

Ця стаття призначена для адміністраторів мережі, зокрема брандмауера та адміністраторів безпеки проксі-серверів, які хочуть використовувати виділений екземпляр у своїй організації.

Огляд безпеки: Безпека в шарах

Спеціальний екземпляр використовує багаторівневий підхід для безпеки. До несучок відносяться:

  • Фізичний доступ

  • Мережа

  • Термінальні пристрої

  • Заявки на UC

У наведених нижче розділах описано рівні безпеки під час розгортання виділених екземплярів .

Фізична безпека

Важливо забезпечити фізичну безпеку місць розташування кімнат Equinix Meet-Me та спеціалізованих центрів обробки даних Cisco . Коли фізична безпека порушена, можна ініціювати прості атаки, такі як порушення обслуговування шляхом відключення живлення на комутаторах клієнта. Маючи фізичний доступ, зловмисники могли отримати доступ до серверних пристроїв, скинути паролі та отримати доступ до комутаторів. Фізичний доступ також полегшує більш складні атаки, такі як атаки "людина посередині", тому другий рівень безпеки, мережева безпека, має вирішальне значення.

Диски, що самошифруються, використовуються у спеціальних прикладних центрах обробки даних, де розміщені програми UC.

Додаткові відомості про загальні практики безпеки див. в документації за таким розташуванням: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Безпека мережі

Партнери повинні переконатися, що всі елементи мережі захищені в інфраструктурі виділеного екземпляра (яка підключається через Equinix). Відповідальність партнера полягає в забезпеченні найкращих практик безпеки, таких як:

  • Окрема VLAN для голосу і даних

  • Увімкніть безпеку порту, яка обмежує кількість MAC-адрес, дозволених для кожного порту, проти затоплення таблиці CAM

  • Захист джерела IP від підроблених IP-адрес

  • Динамічна інспекція ARP (DAI) вивчає протокол адресної резолюції (ARP) та безоплатний ARP (GARP) на предмет порушень (проти підміни ARP)

  • 802. обмежує доступ до мережі для автентифікації пристроїв на призначених VLAN (телефони підтримують 802.1x 1x)

  • Налаштування якості обслуговування (QoS) для відповідного маркування голосових пакетів

  • Конфігурації портів брандмауера для блокування будь-якого іншого трафіку

Безпека кінцевих пристроїв

Кінцеві точки Cisco підтримують функції безпеки за замовчуванням, такі як підписана мікропрограма, безпечне завантаження (вибрані моделі), встановлений сертифікат виробника (MIC) та підписані файли конфігурації, які забезпечують певний рівень безпеки кінцевих точок.

Крім того, партнер або клієнт може забезпечити додаткову безпеку, таку як:

  • Шифрування послуг IP-телефонів (через HTTPS) для таких служб, як Розширена мобільність

  • Видавати локально значущі сертифікати (LSC) від проксі-функції центру сертифікації (CAPF) або державного центру сертифікації (CA)

  • Шифрування конфігураційних файлів

  • Шифрування носіїв і сигналізації

  • Вимкніть ці настройки, якщо вони не використовуються: Порт ПК, Голосовий доступ до VLAN для ПК, Безкоштовний ARP, Веб-доступ, Кнопка налаштувань, SSH, консоль

Впровадження механізмів безпеки у виділеному екземплярі запобігає крадіжці особистих даних телефонів та сервера Unified CM, фальсифікації даних та підробці сигналів дзвінків / медіа-потоку.

Виділений екземпляр через мережу:

  • Встановлює та підтримує автентифіковані потоки зв'язку

  • Цифровий підпис файлів перед перенесенням файлу на телефон

  • Шифрує медіапотоки та сигналізацію дзвінків між уніфікованими IP-телефонами Cisco

Налаштування безпеки за замовчуванням

Безпека за замовчуванням надає такі функції автоматичної безпеки для уніфікованих IP-телефонів Cisco:

  • Підписання файлів конфігурації телефону

  • Підтримка шифрування файлів конфігурації телефону

  • HTTPS з Tomcat та іншими веб-сервісами (MIDlets)

Для уніфікованого випуску CM 8.0 пізніше ці функції безпеки надаються за замовчуванням без запуску клієнта списку надійності сертифікатів (CTL).

Служба перевірки довіри

Оскільки в мережі є велика кількість телефонів, а IP-телефони мають обмежену пам'ять, Cisco Unified CM діє як віддалене сховище довіри через Службу перевірки довіри (TVS), так що надійне сховище сертифікатів не потрібно розміщувати на кожному телефоні. IP-телефони Cisco звертаються до сервера TVS для перевірки, оскільки вони не можуть перевірити підпис або сертифікат за допомогою файлів CTL або ITL. Мати центральний магазин довіри легше керувати, ніж мати магазин довіри на кожному IP-телефоні Cisco Unified.

TVS дозволяє уніфікованим IP-телефонам Cisco автентифікувати сервери додатків, такі як EM-служби, каталог і MIDlet, під час створення HTTPS.

Початковий список довіри

Файл початкового списку довіри (ITL) використовується для початкового захисту, щоб кінцеві точки могли довіряти Cisco Unified CM. ITL не потребує явного ввімкнення будь-яких функцій безпеки. ITL-файл автоматично створюється при установці кластера. Закритий ключ сервера уніфікованого тривіального протоколу передачі файлів CM (TFTP) використовується для підписання файлу ITL.

Коли кластер або сервер Cisco Unified CM знаходиться в незахищеному режимі, файл ITL завантажується на кожен підтримуваний IP-телефон Cisco. Партнер може переглядати вміст файлу ITL за допомогою команди CLI, admin:show itl.

IP-телефонам Cisco файл ITL потрібен для виконання наступних завдань:

  • Безпечний зв'язок із CAPF, що є необхідною умовою для підтримки шифрування конфігураційного файлу

  • Автентифікація підпису файлу конфігурації

  • Автентифікуйте сервери додатків, такі як EM-служби, каталоги та MIDlet під час створення HTTPS за допомогою телевізорів

Cisco CTL

Автентифікація пристрою, файлів і сигналів залежить від створення файлу списку надійності сертифікатів (CTL), який створюється, коли партнер або клієнт інсталює та настроює клієнта списку довіри сертифіката Cisco.

Файл CTL містить записи для наступних серверів або маркерів безпеки:

  • Токен безпеки системного адміністратора (SAST)

  • Cisco CallManager і TFTP-сервіси Cisco, які працюють на одному сервері

  • Проксі-функція центру сертифікації (CAPF)

  • TFTP-сервери

  • Брандмауер ASA

Файл CTL містить сертифікат сервера, відкритий ключ, серійний номер, підпис, ім'я емітента, ім'я суб'єкта, функцію сервера, ім'я DNS та IP-адресу для кожного сервера.

Безпека телефону за допомогою CTL забезпечує наступні функції:

  • Аутентифікація завантажених файлів TFTP (конфігурація, локаль, список дзвінків і так далі) за допомогою ключа підписання

  • Шифрування файлів конфігурації TFTP за допомогою ключа підпису

  • Зашифрована сигналізація викликів для IP-телефонів

  • Зашифрований аудіовиклик (медіа) для IP-телефонів

Безпека IP-телефонів Cisco в виділеному екземплярі

Спеціальний екземпляр забезпечує реєстрацію кінцевих точок та обробку викликів. Сигналізація між Cisco Unified CM і кінцевими точками базується на захищеному протоколі управління клієнтами (SCCP) або протоколі ініціації сеансу (SIP) і може бути зашифрована за допомогою безпеки транспортного рівня (TLS). Носій з/до кінцевих точок базується на транспортному протоколі реального часу (RTP), а також може бути зашифрований за допомогою Secure RTP (SRTP).

Увімкнення змішаного режиму на Unified CM дозволяє шифрувати сигнальний та медіатрафік з кінцевих точок Cisco та до них.

Безпечні застосунки UC

Увімкнення змішаного режиму в виділеному екземплярі

Змішаний режим увімкнено за замовчуванням у виділеному екземплярі.

Увімкнення змішаного режиму у виділеному екземплярі дає можливість виконувати шифрування сигнального та медіатрафіку від кінцевих точок Cisco та до них.

У cisco Unified CM release 12.5(1) була додана нова опція включення шифрування сигналів і носіїв на основі SIP OAuth замість змішаного режиму / CTL для клієнтів Jabber і Webex. Тому в уніфікованому випуску CM 12.5(1) SIP OAuth і SRTP можуть використовуватися для включення шифрування для сигналізації та носіїв для клієнтів Jabber або Webex. Увімкнення змішаного режиму продовжує вимагатися для IP-телефонів Cisco та інших кінцевих точок Cisco в цей час. У майбутньому випуску планується додати підтримку SIP OAuth в кінцевих точках 7800/8800.

Безпека служби голосових повідомлень

Cisco Unity Connection підключається до уніфікованої CM через порт TLS. Коли режим безпеки пристрою не захищений, Cisco Unity Connection підключається до Unified CM через порт SCCP.

Щоб налаштувати безпеку для портів голосових повідомлень Unified CM і пристроїв Cisco Unity, на яких працюють пристрої SCCP або Cisco Unity Connection, що працюють під управлінням SCCP, партнер може вибрати для порту безпечний режим безпеки пристрою. Якщо вибрати автентифікований порт голосової пошти, відкриється підключення TLS, яке автентифікує пристрої за допомогою взаємного обміну сертифікатами (кожен пристрій приймає сертифікат іншого пристрою). Якщо вибрати зашифрований порт голосової пошти, система спочатку автентифікує пристрої, а потім відправляє зашифровані голосові потоки між пристроями.

Щоб отримати додаткові відомості про порти голосових повідомлень системи безпеки, зверніться до: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Безпека для SRST, стовбурів, шлюзів, CUBE / SBC

Уніфікований живучий шлюз віддаленого сайту Cisco (SRST) забезпечує обмежені завдання обробки викликів, якщо уніфікована CM Cisco на виділеному екземплярі не може завершити виклик.

Захищені шлюзи з підтримкою SRST містять сертифікат із власним підписом. Після того, як партнер виконує завдання конфігурації SRST в уніфікованому адмініструванні CM, Unified CM використовує з'єднання TLS для автентифікації зі службою постачальника сертифікатів у шлюзі, що підтримує SRST. Після цього Unified CM отримує сертифікат від шлюзу, що підтримує SRST, і додає сертифікат до Єдиної бази даних CM.

Після скидання партнером залежних пристроїв в Unified CM Administration, TFTP-сервер додає сертифікат шлюзу з підтримкою SRST до файлу cnf.xml телефону і відправляє файл на телефон. Потім захищений телефон використовує з'єднання TLS для взаємодії зі шлюзом із підтримкою SRST.

Рекомендується мати захищені стовбури для виклику, що походить від Cisco Unified CM до шлюзу для вихідних викликів ТМЗК або проходження через Cisco Unified Border Element (CUBE).

SIP-транки можуть підтримувати безпечні виклики як для сигналізації, так і для носіїв; TLS забезпечує шифрування сигналів, а SRTP забезпечує шифрування медіа.

Захист зв’язку між Cisco Unified CM і CUBE

Для безпечного зв'язку між Cisco Unified CM і CUBE партнерам/клієнтам необхідно використовувати сертифікат із власним підписом або сертифікати, підписані CA.

Для самопідписаних сертифікатів:

  1. CUBE і Cisco Unified CM генерують самопідписані сертифікати

  2. CUBE експортує сертифікат в Cisco Unified CM

  3. Cisco Unified CM експортує сертифікат в CUBE

Для сертифікатів, підписаних CA:

  1. Клієнт генерує пару ключів і надсилає запит на підписання сертифіката (CSR) до центру сертифікації (ЦС)

  2. ЦС підписує його своїм закритим ключем, створюючи посвідчення особи

  3. Клієнт інсталює список надійних кореневих і посередницьких сертифікатів ЦС, а також посвідчення особи

Безпека для віддалених кінцевих пристроїв

З кінцевими точками мобільного та віддаленого доступу (MRA) сигналізація та медіа завжди шифруються між кінцевими точками MRA та вузлами швидкісної дороги. Якщо для кінцевих точок MRA використовується протокол інтерактивного підключення (ICE), потрібна сигналізація та шифрування медіа кінцевих точок MRA. Однак шифрування сигналізації та носіїв між Expressway-C та внутрішніми серверами Unified CM, внутрішніми кінцевими точками або іншими внутрішніми пристроями вимагає змішаного режиму або SIP OAuth.

Cisco Expressway забезпечує безпечну підтримку обходу брандмауера та лінійної сторони для реєстрації уніфікованих CM. Уніфікована CM забезпечує контроль викликів як для мобільних, так і для локальних кінцевих точок. Сигналізація перетинає рішення Expressway між віддаленою кінцевою точкою та уніфікованою CM. Медіафайли перетинають рішення швидкісної дороги та ретранслюються безпосередньо між кінцевими точками. Усі носії зашифровані між швидкісною дорогою C та мобільною кінцевою точкою.

Будь-яке рішення MRA вимагає швидкісної дороги та уніфікованої CM, з MRA-сумісними м'якими клієнтами та/або фіксованими кінцевими точками. Рішення за бажанням може включати миттєві повідомлення, службу присутності та з'єднання Unity.

Зведення протоколу

У наведеній нижче таблиці показано протоколи та пов'язані з ними служби, які використовуються в рішенні Unified CM.

Таблиця 1. Протоколи та пов'язані з ними служби

Протокол

Безпека

Служба

SIP

TLS

Створення сесії: Зареєструватися, запросити тощо.

HTTPS

TLS

Вхід, Підготовка / Конфігурація, Каталог, Візуальна голосова пошта

Мультимедійний вміст

СТО

ЗМІ: Обмін аудіо, відео, вмістом

XMPP

TLS

Обмін миттєвими повідомленнями, присутність, федерація

Для отримання додаткової інформації про конфігурацію MRA дивіться: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

варіанти конфігурації

Спеціальний екземпляр надає партнеру гнучкість для налаштування послуг для кінцевих користувачів за допомогою повного контролю над конфігураціями другого дня. Як наслідок, Партнер несе повну відповідальність за належну конфігурацію служби Dedicated Instance для середовища кінцевого користувача. Сюди входить, але не обмежується:

  • Вибір безпечних / незахищених дзвінків, безпечних / незахищених протоколів, таких як SIP / sSIP, http / https тощо, і розуміння будь-яких пов'язаних з цим ризиків.

  • Для всіх MAC-адрес, не налаштованих як secure-SIP у виділеному екземплярі, зловмисник може надіслати повідомлення SIP-реєстру, використовуючи цю MAC-адресу, і мати можливість здійснювати SIP-дзвінки, що призводить до шахрайства з оплатою проїзду. Передумовою є те, що зловмисник може зареєструвати свій SIP-пристрій/програмне забезпечення у виділеному екземплярі без дозволу, якщо йому відома MAC-адреса пристрою, зареєстрованого у спеціальному екземплярі .

  • Правила трансформації та пошуку дзвінків Expressway-E, які слід налаштувати, щоб запобігти шахрайству з оплатою проїзду. Для отримання додаткової інформації про запобігання платному шахрайству за допомогою швидкісних доріг зверніться до розділу Безпека для швидкісної дороги C та Expressway-E співпраці SRND.

  • Конфігурація абонентської групи, щоб користувачі могли набирати лише місця призначення, яким дозволено, наприклад, заборона набору внутрішніх/міжнародних номерів, правильна маршрутизація екстрених викликів тощо. Додаткову інформацію про застосування обмежень за допомогою абонентської групи див. в розділі Абонентська група співпраці SRND.

Вимоги до сертифіката для безпечних з’єднань у виділеному екземплярі

Для виділеного екземпляра Cisco надасть домен і підпише всі сертифікати для додатків UC за допомогою публічного центру сертифікації (CA).

Виділений екземпляр – номери портів і протоколи

У наведених нижче таблицях описано порти та протоколи, які підтримуються у спеціальному екземплярі. Порти, які використовуються для даного клієнта, залежать від розгортання та рішення Замовника. Протоколи залежать від бажаних параметрів клієнта (SCCP проти SIP), наявних локальних пристроїв і якого рівня безпеки для визначення, які порти будуть використовуватися в кожному розгортанні.

Виділений екземпляр не дозволяє переклад мережевої адреси (NAT) між кінцевими пристроями та Unified CM, оскільки деякі функції потоку викликів не працюватимуть, наприклад функція проміжного виклику.

Спеціальний екземпляр – порти клієнтів

Порти, доступні для клієнтів - між локальним клієнтом і спеціальним екземпляром, наведені в таблиці 1 Спеціальні портиклієнта. Усі перелічені нижче порти призначені для трафіку клієнтів, який обходить однорангові посилання.

Порт SNMP відкритий за замовчуванням лише для Cisco Emergency Responder, що підтримує його функції. Оскільки ми не підтримуємо партнерів або клієнтів, які здійснюють моніторинг програм UC, розгорнутих у хмарі виділеного екземпляра, ми не дозволяємо відкриття порту SNMP для будь-яких інших програм UC.

Порти в діапазоні 5063–5080 зарезервовані Cisco для інших хмарних інтеграцій. Адміністраторам партнерів або клієнтам рекомендується не використовувати ці порти в своїх конфігураціях.

Таблиця 2. Порти виділених клієнтів Instance

Протокол

TCP або UDP

Джерело

Місце призначення

Порт джерела

Порт призначення

Мета

СШ

TCP

Клієнт

Заявки на UC

Не дозволено для програм Cisco Expressway.

Більше 1023

22

Адміністрування

tftp

UDP

Кінцевий пристрій

Unified CM

Більше 1023

69

Застаріла підтримка кінцевих пристроїв

LDAP

TCP

Заявки на UC

Зовнішній каталог

Більше 1023

389

Синхронізація служби каталогів із запитом клієнта

HTTPS

TCP

Браузер

Заявки на UC

Більше 1023

443

Веб-доступ для самообслуговування та адміністративних інтерфейсів

Вихідна пошта (SECURE)

TCP

Застосунок UC

CUCxn

Більше 1023

587

Використовується для створення та надсилання захищених повідомлень будь-яким призначеним одержувачам

LDAP (БЕЗПЕЧНИЙ)

TCP

Заявки на UC

Зовнішній каталог

Більше 1023

636

Синхронізація служби каталогів із запитом клієнта

H323

TCP

Шлюз

Unified CM

Більше 1023

1720

Сигналізація виклику

H323

TCP

Unified CM

Unified CM

Більше 1023

1720

Сигналізація виклику

УПП

TCP

Кінцевий пристрій

Уніфікований CM, CUCxn

Більше 1023

2000

Сигналізація виклику

УПП

TCP

Unified CM

Уніфікований CM, шлюз

Більше 1023

2000

Сигналізація виклику

MGCP

UDP

Шлюз

Шлюз

Більше 1023

2427

Сигналізація виклику

Сервер MGCP

TCP

Шлюз

Unified CM

Більше 1023

2428

Сигналізація виклику

SCCP (БЕЗПЕЧНИЙ)

TCP

Кінцевий пристрій

Уніфікований CM, CUCxn

Більше 1023

2443

Сигналізація виклику

SCCP (БЕЗПЕЧНИЙ)

TCP

Unified CM

Уніфікований CM, шлюз

Більше 1023

2443

Сигналізація виклику

Перевірка довіри

TCP

Кінцевий пристрій

Unified CM

Більше 1023

2445

Надання послуги перевірки довіри до кінцевих точок

ІКТ

TCP

Кінцевий пристрій

Unified CM

Більше 1023

2748

Зв'язок між додатками CTI (JTAPI/TSP) та CTIManager

Безпечний CTI

TCP

Кінцевий пристрій

Unified CM

Більше 1023

2749

Безпечне з'єднання між додатками CTI (JTAPI/TSP) і CTIManager

Глобальний каталог LDAP

TCP

Додатки UC

Зовнішній каталог

Більше 1023

3268

Синхронізація служби каталогів із запитом клієнта

Глобальний каталог LDAP

TCP

Додатки UC

Зовнішній каталог

Більше 1023

3269

Синхронізація служби каталогів із запитом клієнта

Сервіс CAPF

TCP

Кінцевий пристрій

Unified CM

Більше 1023

3804

Проксі-функція центру сертифікації (CAPF) прослуховує порт для видачі локально значущих сертифікатів (LSC) на IP-телефони

SIP

TCP

Кінцевий пристрій

Уніфікований CM, CUCxn

Більше 1023

5060

Сигналізація виклику

SIP

TCP

Unified CM

Уніфікований CM, шлюз

Більше 1023

5060

Сигналізація виклику

SIP (БЕЗПЕЧНИЙ)

TCP

Кінцевий пристрій

Unified CM

Більше 1023

5061

Сигналізація виклику

SIP (БЕЗПЕЧНИЙ)

TCP

Unified CM

Уніфікований CM, шлюз

Більше 1023

5061

Сигналізація виклику

SIP (OAUTH)

TCP

Кінцевий пристрій

Unified CM

Більше 1023

5090

Сигналізація виклику

XMPP

TCP

Джаббер Клієнт

Cisco IM&P

Більше 1023

5222

Обмін миттєвими повідомленнями та присутність

HTTP

TCP

Кінцевий пристрій

Unified CM

Більше 1023

6970

Завантаження конфігурації та зображень у кінцеві точки

HTTPS

TCP

Кінцевий пристрій

Unified CM

Більше 1023

6971

Завантаження конфігурації та зображень у кінцеві точки

HTTPS

TCP

Кінцевий пристрій

Unified CM

Більше 1023

6972

Завантаження конфігурації та зображень у кінцеві точки

HTTP

TCP

Джаббер Клієнт

CUCxn

Більше 1023

7080

Сповіщення голосової пошти

HTTPS

TCP

Джаббер Клієнт

CUCxn

Більше 1023

7443

Безпечні сповіщення голосової пошти

HTTPS

TCP

Unified CM

Unified CM

Більше 1023

7501

Використовується службою пошуку між кластерами (ILS) для автентифікації на основі сертифіката

HTTPS

TCP

Unified CM

Unified CM

Більше 1023

7502

Використовується ILS для автентифікації на основі пароля

IMAP

TCP

Джаббер Клієнт

CUCxn

Більше 1023

7993

IMAP через TLS

HTTP

TCP

Кінцевий пристрій

Unified CM

Більше 1023

8080

Абонентський URI для застарілої підтримки термінальних пристроїв

HTTPS

TCP

Браузер, кінцева точка

Заявки на UC

Більше 1023

8443

Веб-доступ для самообслуговування та адміністративних інтерфейсів, UDS

HTTPS

TCP

Телефон

Unified CM

Більше 1023

9443

Автентифікований пошук контактів

HTTP

TCP

Кінцевий пристрій

Unified CM

Більше 1023

9444

Функція керування гарнітурою

Безпечний RTP/SRTP

UDP

Unified CM

Телефон

з 16384 по 32767 *

з 16384 по 32767 *

Медіа (аудіо) - Музика на утриманні, Благовіщення, Програмний конференц-міст (відкритий на основі сигналізації дзвінків)

Безпечний RTP/SRTP

UDP

Телефон

Unified CM

з 16384 по 32767 *

з 16384 по 32767 *

Медіа (аудіо) - Музика на утриманні, Благовіщення, Програмний конференц-міст (відкритий на основі сигналізації дзвінків)

кобри

TCP

Клієнт

CUCxn

Більше 1023

20532

Створити резервну копію та відновити пакет програм

ICMP

ICMP

Кінцевий пристрій

Заявки на UC

н/д

н/д

Перевірка зв’язку

ICMP

ICMP

Заявки на UC

Кінцевий пристрій

н/д

н/д

Перевірка зв’язку

DNS UDP й TCP

Переадресатор DNS

Сервери виділеного екземпляра DNS

Більше 1023

53

Переадресатори DNS території клієнта на сервери виділеного екземпляра DNS. Для отримання додаткової інформації дивіться вимоги до DNS .

* У деяких особливих випадках може використовуватися більший діапазон.

Виділений екземпляр – порти OTT

Клієнти та партнери можуть використовувати наступний порт для налаштування мобільного та віддаленого доступу (MRA):

Таблиця 3. Порт для OTT

Протокол

TCP/UCP

Джерело

Місце призначення

Порт джерела

Порт призначення

Мета

БЕЗПЕЧНИЙ RTP / RTCP

UDP

Expressway C

Клієнт

Більше 1023

36000-59999

Безпечні медіа для MRA та B2B дзвінків

Міжоп-SIP-транк між багатоклієнтським та виділеним екземпляром (тільки для транка на основі реєстрації)

Такий список портів має бути дозволений на брандмауері клієнта для SIP-транка на основі реєстрації, що з’єднується між мультиклієнтом і виділеним екземпляром.

Таблиця 4. Порт для транків на основі реєстрації

Протокол

TCP/UCP

Джерело

Місце призначення

Порт джерела

Порт призначення

Мета

rtp/ rtcp

UDP

Мультиклієнт Webex Calling

Клієнт

Більше 1023

8000-48198

Мультимедіа із багатоклієнтського Webex Calling

Виділений екземпляр – порти UCCX

Наступний список портів може використовуватися Клієнтами та Партнерами для налаштування UCCX.

Таблиця 5. Порти Cisco UCCX

Протокол

TCP / UCP

Джерело

Місце призначення

Порт джерела

Порт призначення

Мета

СШ

TCP

Клієнт

UCCX

Більше 1023

22

СФТП і СШГ

Інформікс

TCP

Клієнт або сервер

UCCX

Більше 1023

1504

Порт бази даних Contact Center Express

SIP

UDP й TCP

SIP GW або MCRP-сервер

UCCX

Більше 1023

5065

Зв'язок з віддаленими вузлами GW і MCRP

XMPP

TCP

Клієнт

UCCX

Більше 1023

5223

Безпечне XMPP-з'єднання між сервером Finesse та користувацькими сторонніми програмами

ССЗ

TCP

Клієнт

UCCX

Більше 1023

6999

Редактор додатків ССХ

HTTPS

TCP

Клієнт

UCCX

Більше 1023

7443

Безпечне з'єднання BOSH між сервером Finesse та робочими столами агента та супервайзера для зв'язку через HTTPS

HTTP

TCP

Клієнт

UCCX

Більше 1023

8080

Клієнти звітування даних у реальному часі підключаються до сервера socket.IO

HTTP

TCP

Клієнт

UCCX

Більше 1023

8081

Клієнтський браузер, який намагається отримати доступ до веб-інтерфейсу Єдиного розвідувального центру Cisco

HTTP

TCP

Клієнт

UCCX

Більше 1023

8443

Графічний інтерфейс адміністратора, RTMT, доступ до бази даних через SOAP

HTTPS

TCP

Клієнт

UCCX

Більше 1023

8444

Веб-інтерфейс Єдиного розвідувального центру Cisco

HTTPS

TCP

Браузер і REST клієнти

UCCX

Більше 1023

8445

Безпечний порт для Finesse

HTTPS

TCP

Клієнт

UCCX

Більше 1023

8447

HTTPS - Єдина розвідувальна служба онлайн-довідки

HTTPS

TCP

Клієнт

UCCX

Більше 1023

8553

Компоненти єдиного входу (SSO) отримують доступ до цього інтерфейсу, щоб знати робочий стан IdS Cisco.

HTTP

TCP

Клієнт

UCCX

Більше 1023

9080

Клієнти, які намагаються отримати доступ до тригерів HTTP або документів / підказок / граматик / живих даних.

HTTPS

TCP

Клієнт

UCCX

Більше 1023

9443

Захищений порт, який використовується для відповіді клієнтам, які намагаються отримати доступ до тригерів HTTPS

TCP

TCP

Клієнт

UCCX

Більше 1023

12014

Це порт, де клієнти зі звітом живих даних можуть підключитися до сервера socket.IO

TCP

TCP

Клієнт

UCCX

Більше 1023

12015

Це порт, де клієнти зі звітом живих даних можуть підключитися до сервера socket.IO

ІКТ

TCP

Клієнт

UCCX

Більше 1023

12028

Сторонній клієнт CTI для CCX

RTP(Медіа)

TCP

Кінцевий пристрій

UCCX

Більше 1023

Більше 1023

Медіапорт динамічно відкривається в міру необхідності

RTP(Медіа)

TCP

Клієнт

Кінцевий пристрій

Більше 1023

Більше 1023

Медіапорт динамічно відкривається в міру необхідності

Безпека клієнта

Захист Jabber та Webex за допомогою SIP OAuth

Клієнти Jabber і Webex автентифікуються за допомогою токена OAuth замість локально значущого сертифіката (LSC), який не вимагає включення проксі-функції центру сертифікації (CAPF) (також для MRA). SIP OAuth, що працює зі змішаним режимом або без нього, був представлений в Cisco Unified CM 12.5(1), Jabber 12.5 і Expressway X12.5.

У Cisco Unified CM 12.5 ми маємо нову опцію в профілі безпеки телефону, яка дозволяє шифрувати без LSC/CAPF, використовуючи єдиний транспортний рівень безпеки (TLS) + токен OAuth у SIP REGISTER. Вузли Expressway-C використовують API адміністративної веб-служби XML (AXL) для інформування Cisco Unified CM про SN/SAN у своєму сертифікаті. Cisco Unified CM використовує цю інформацію для перевірки сертифіката Exp-C при встановленні взаємного з'єднання TLS.

SIP OAuth забезпечує шифрування медіа та сигналізації без сертифіката кінцевої точки (LSC).

Cisco Jabber використовує Ephemeral порти і захищені порти 6971 і 6972 через HTTPS-з'єднання з TFTP-сервером для завантаження файлів конфігурації. Порт 6970 є небезпечним портом для завантаження через HTTP.

Детальніше про конфігурацію SIP OAuth: Режим SIP OAuth.

Вимоги до DNS

Для виділеного екземпляра Cisco надає FQDN для служби в кожному регіоні з таким форматом ..wxc-di.webex.com , наприклад, xyz.amer.wxc-di.webex.com.

Цінність «клієнта» надається адміністратором у рамках майстра першого налаштування (FTSW). Для отримання додаткової інформації зверніться до Активаціяслужби спеціального екземпляра.

Записи DNS для цього FQDN потрібно вирішити з внутрішнього DNS-сервера клієнта для підтримки локальних пристроїв, підключених до виділеного екземпляра. Щоб полегшити вирішення, клієнту потрібно налаштувати умовний експедитор для цього FQDN на своєму DNS-сервері, що вказує на службу DNS виділеного екземпляра. Служба DNS виділеного екземпляра є регіональною, до неї можна підключитися за допомогою пірингу до виділеного екземпляра за допомогою таких IP-адрес, як зазначено в таблиці IP-адреса служби DNS виділеного екземпляра.

Таблиця 6. IP-адреса служби DNS виділеного екземпляра

Регіон/округ Колумбія

IP-адреса служби DNS виділеного екземпляра

Приклад умовного пересилання

AMER

<customer>.amer.wxc-di.webex.com

ГЦП

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

ЛОН

178.215.138.100

АМС

178.215.138.228

ЄС

<customer>.eu.wxc-di.webex.com

між

178.215.131.100

АМС

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Гріх

103.232.71.100

tky

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Мел

178.215.128.100

Сід

178.215.128.228

Сполучене Королівство

<customer>.uk.wxc-di.webex.com

ЛОН

178.215.135.100

чоловік

178.215.135.228

Опція ping відключена для вищезгаданих IP-адрес DNS-сервера з міркувань безпеки.

Поки не буде проведено умовне пересилання, пристрої не зможуть зареєструватися у виділеному екземплярі з внутрішньої мережі клієнтів через пірінгові посилання. Умовна переадресація не потрібна для реєстрації за допомогою мобільного та віддаленого доступу (MRA), оскільки всі необхідні зовнішні записи DNS для полегшення MRA будуть попередньо надані Cisco.

Під час використання програми Webex як програмного клієнта, що телефонує, у виділеному екземплярі, профіль менеджера UC повинен бути налаштований у Центрі керування для домену голосового обслуговування кожного регіону (VSD). Для отримання додаткової інформації зверніться до профілів UC Manager в Cisco Webex Control Hub. Додаток Webex зможе автоматично вирішувати питання швидкісної дороги клієнта без будь-якого втручання кінцевого користувача.

Домен голосового сервісу буде надано клієнту як частина документа доступу партнера після завершення активації послуги.

Використовувати локальний маршрутизатор для роздільної здатності DNS телефона

Для телефонів, які не мають доступу до корпоративних серверів DNS, можна використовувати локальний маршрутизатор Cisco, щоб переадресувати запити DNS до хмари DNS виділеного екземпляра. Це усуває необхідність розгортання локального DNS-сервера та забезпечує повну підтримку DNS, включно з кешуванням.

Приклад конфігурації :

!

сервер IP DNS

IP-сервер

!

Використання DNS у цій моделі розгортання специфічне для телефонів і може використовуватися лише для вирішення повних доменів із доменом із виділеного екземпляра клієнтів.

Роздільна здатність DNS телефона