- 主页
- /
- 文章
在此文章中本文档主要关注专用实例解决方案的网络和安全要求,包括对提供安全物理访问、安全网络、安全终端和安全Cisco UC应用程序的特性和功能的分层方法。
专用实例的网络要求
Webex Calling专用实例是思科云 Calling 产品组合的一部分,由Cisco Unified Communications Manager (Cisco Unified CM) 协作技术提供支持。 专用实例提供语音、视频、消息传递和移动解决方案,具有安全连接到专用实例的Cisco IP 电话、移动设备和桌面客户端的功能和优势。
本文适用于网络管理员,尤其是希望在组织内使用专用实例的防火墙和代理安全管理员。
安全概述: 层层安全
专用实例使用分层的安全方法。 这些层包括:
物理访问
网络
端点
UC 应用程序
以下部分描述了中的安全层专用实例部署。
物理安全性
为 Equinix Meet-Me 会议室位置和Cisco专用实例数据中心设施。 当物理安全受到威胁时,可以发起简单的攻击,例如通过关闭客户交换机的电源来中断服务。 通过物理访问,攻击者可以访问服务器设备、重置密码以及访问交换机。 物理访问还促成了更复杂的攻击,例如中间人攻击,这就是第二安全层(网络安全)至关重要的原因。
自加密驱动器用于专用实例托管 UC 应用程序的数据中心。
有关一般安全措施的更多信息,请参阅位于以下位置的文档: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html。
网络安全
合作伙伴需要确保所有网络元素都在专用实例基础设施(通过 Equinix 连接)。 合作伙伴有责任确保最佳实践,例如:
用于语音和数据的单独 VLAN
启用端口安全以限制每个端口允许的 MAC 地址数量,防止 CAM 表泛滥
IP 源防范欺骗 IP 地址
动态 ARP 检查 (DAI) 检查地址解析协议 (ARP) 和免费 ARP (GARP) 是否有违规行为(针对 ARP 欺骗)
802.1x限制网络访问以验证分配的 VLAN 上的设备(电话确实支持 802.1x )
配置服务质量 (QoS),以便对语音数据包进行适当标记
用于阻止任何其他流量的防火墙端口配置
终端安全性
Cisco终端支持缺省安全功能,例如签名固件、安全启动(特定型号)、制造商安装的证书 (MIC) 和签名配置文件,可为终端提供一定级别的安全性。
此外,合作伙伴或客户可以启用额外的安全性,例如:
为Extension Mobility等服务加密IP 电话服务(通过 HTTPS)
从证书权限代理功能(CAPF) 或公共证书颁发机构 (CA) 颁发本地有效证书 (LSC)
加密配置文件
加密媒体和信令
如果不使用,请禁用这些设置: PC 端口, PC 语音 VLAN 访问, 免费 ARP, Web 访问, 设置按钮, SSH, 控制台
在专用实例防止电话和Unified CM 服务器的身份盗用、数据篡改以及呼叫信令/媒体流篡改。
专用实例通过网络:
建立并维护已验证的通信流
在将文件传输到电话之前对文件进行数字签名
加密Cisco Unified IP 电话之间的媒体流和呼叫信令
缺省情况下,安全性为Cisco Unified IP 电话提供以下自动安全功能:
签署电话配置文件
支持电话配置文件加密
使用 HTTPS 与 Tomcat 和其他 Web 服务 (MIDlet)
对于Unified CM 8.0 版更高版本,默认情况下提供这些安全功能,而不运行证书信任列表 (CTL) 客户端。
信任验证服务由于网络中存在大量电话,并且 IP 电话的内存有限, Cisco Unified CM通过信任验证服务 (TVS) 充当远程信任存储区,因此不必在每部电话上放置证书信任存储区。 Cisco IP 电话联系 TVS 服务器进行验证,因为它们无法通过 CTL 或 ITL 文件验证签名或证书。 拥有中央信任存储区比在每个Cisco Unified IP 电话上拥有信任存储区更易于管理。
TVS 支持Cisco Unified IP 电话在 HTTPS 建立期间验证应用程序服务器,例如 EM 服务、目录和 MIDlet。
初始信任列表初始信任列表 (ITL) 文件用于初始安全性,以便终端可以信任Cisco Unified CM。 ITL 无需明确启用任何安全功能。 安装群集时会自动创建 ITL 文件。 Unified CM普通文件传输协议 (TFTP) 服务器的私钥用于签署 ITL 文件。
当Cisco Unified CM群集或服务器处于非安全模式时,ITL 文件会下载到每个受支持的Cisco IP 电话上。 合作伙伴可以使用CLI 命令admin:show itl 查看 ITL 文件的内容。
Cisco IP 电话需要 ITL 文件才能执行以下任务:
安全地与 CAPF 通信,这是支持配置文件加密的前提条件
验证配置文件签名
在使用 TVS 建立 HTTPS 期间,对应用程序服务器(例如 EM 服务、目录和 MIDlet)进行身份验证
设备、文件和信令验证依赖于证书信任列表 (CTL) 文件的创建,该文件在合作伙伴或客户安装和配置Cisco证书信任列表客户端时创建。
CTL 文件包含以下服务器或安全令牌的条目:
系统管理员安全令牌 (SAST)
在同一服务器上运行的Cisco CallManager和Cisco TFTP 服务
Certificate Authority代理功能 (CAPF)
TFTP 服务器
ASA 防火墙
CTL 文件包含每台服务器的服务器证书、公钥、序列号、签名、颁发者名称、主题名称、服务器功能、DNS 名称和IP 地址。
使用 CTL 的电话安全性提供以下功能:
使用签名密钥验证 TFTP 下载的文件(配置、区域设置、响铃列表等)
使用签名密钥加密 TFTP 配置文件
IP 电话的加密呼叫信令
IP 电话的加密呼叫音频(媒体)
专用实例提供端点注册和呼叫处理。 Cisco Unified CM和终端之间的信令基于安全信令客户端控制协议(SCCP) 或会话发起协议 (SIP) ,并且可以使用传输层安全性 (TLS) 进行加密。 往返于终端的媒体基于实时传输协议 (RTP),也可以使用安全 RTP (SRTP) 加密。
在Unified CM上启用混合模式可以对进出Cisco终端的信令和媒体流量进行加密。
安全的UC应用程序
在 实例中启用混合模式混合模式在默认启用专用实例。
在 中启用混合模式专用实例能够对进出Cisco终端的信令和媒体流量执行加密。
在Cisco Unified CM版本 12.5(1) 中,为 Jabber 和 Webex 客户端添加了一个新选项,用于基于 SIP OAuth 而非混合模式/CTL 启用信令和媒体加密。 因此,在Unified CM版本 12.5(1) 中,可使用 SIP OAuth 和 SRTP 为 Jabber 或 Webex 客户端的信令和媒体启用加密。 目前, Cisco IP 电话和其他Cisco终端仍需要启用混合模式。 计划在未来的发行版中在 7800/8800 终端中添加对 SIP OAuth 的支持。
语音留言安全性Cisco Unity Connection通过 TLS 端口连接到Unified CM 。 当设备安全模式为非安全时, Cisco Unity Connection通过 SCCP 端口连接Unified CM 。
要为Unified CM语音留言端口和运行 SCCP 的 Cisco Cisco Unity设备或运行 SCCP 的Cisco Unity Connection设备配置安全性,合作伙伴可以为端口选择安全的设备安全模式。 如果您选择已验证的语音邮件端口,将打开 TLS 连接,该连接将通过使用相互证书交换来验证设备(每个设备都接受另一个设备的证书)。 如果您选择加密的语音邮件端口,系统将首先验证设备,然后在设备之间发送加密的语音流。
有关安全语音留言端口的更多信息,请参阅: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST、干线、网关、CUBE/SBC 的安全性
如果Cisco Cisco Unified CM在专用实例无法完成呼叫。
安全的启用 SRST 的网关包含自签证书。 合作伙伴在Unified CM 管理中执行 SRST 配置任务后, Unified CM使用 TLS 连接在启用 SRST 的网关中通过证书提供程序服务进行身份验证。 Unified CM随后从启用 SRST 的网关检索证书,并将证书添加到Unified CM数据库。
合作伙伴在Unified CM 管理中重置从属设备后,TFTP 服务器将启用 SRST 的网关证书添加到电话 cnf.xml 文件,并将文件发送到电话。 然后,安全电话使用 TLS 连接与启用 SRST 的网关交互。
对于从Cisco Unified CM到网关(用于 PSTN 出站呼叫)或遍历Cisco Unified Border Element (CUBE) 的呼叫,建议使用安全的干线。
SIP 干线可以支持信令和媒体的安全呼叫; TLS 提供信令加密,SRTP 提供媒体加密。
保护Cisco Unified CM和CUBE之间的通信
为了在Cisco Unified CM和 CUBE 之间进行安全通信,合作伙伴/客户需要使用自签证书或 CA 签名证书。
对于自签名证书:
CUBE 和Cisco Unified CM生成自签名证书
CUBE 将证书导出到Cisco Unified CM
Cisco Unified CM将证书导出到 CUBE
对于 CA 签名的证书:
客户端生成密钥对并向证书Certificate Authority(CA) 发送证书签名请求 (CSR)
CA 使用其私钥对其进行签名,从而创建身份证书
客户端安装受信任的 CA 根证书和中间证书列表以及身份证书
远程终端的安全性
使用移动和Remote Access(MRA) 终端时,信令和媒体始终在 MRA 终端和 Expressway 节点之间加密。 如果将交互式连接建立 (ICE) 协议用于 MRA 终端,则需要对 MRA 终端进行信令和媒体加密。 但是,对 Expressway-C 与内部Unified CM服务器、内部终端或其他内部设备之间的信令和媒体加密需要混合模式或 SIP OAuth。
Cisco Expressway为Unified CM注册提供安全的防火墙遍历和线路侧支持。 Unified CM为移动和内部终端提供呼叫控制。 信令在远程终端和Unified CM之间穿越 Expressway 解决方案。 媒体通过 Expressway 解决方案并在终端之间直接中继。 所有媒体在 Expressway-C 和移动终端之间均已加密。
任何 MRA 解决方案都需要 Expressway 和Unified CM,以及与 MRA 兼容的软客户端和/或固定终端。 该解决方案可以选择包含 IM and Presence 服务和 Unity Connection。
协议摘要
下表显示Unified CM解决方案中使用的协议和关联服务。
协议 | 安全性 | 服务 |
|---|---|---|
SIP | TLS | 会话建立: 注册、邀请等 |
HTTPS | TLS | 登录, 预配置/配置, 目录, 可视语音邮件 |
媒体 | SRTP | 媒体: 音频、视频、内容共享 |
XMPP | TLS | 即时消息传递,在线状态,联合 |
有关 MRA 配置的更多信息,请参阅: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
配置选项
该专用实例通过完全控制第 2 天的配置,合作伙伴可以灵活地为最终用户定制服务。 因此,合作伙伴全权负责正确配置专用实例为最终用户的环境提供服务。 这包括但不限于:
选择安全/非安全呼叫、安全/非安全协议(例如 SIP/sSIP、http/https 等)并了解相关风险。
对于 中未配置为安全 SIP 的所有 MAC 地址专用实例,攻击者可以使用该MAC 地址发送 SIP 注册消息并能够进行 SIP 呼叫,从而导致收费欺诈。 附加条件是攻击者可以将其SIP 设备/软件注册到专用实例如果他们知道在 中注册的设备的MAC 地址,则在未经授权的情况下专用实例。
应配置 Expressway-E 呼叫策略、转换和搜索规则以防止收费欺诈。 有关使用 Expressway 防止收费欺诈的更多信息,请参阅 Expressway C 和 Expressway-E 的安全性部分协作 SRND 。
拨号方案配置,以确保用户只能拨打允许的目标,例如,禁止国内/国际拨号、正确路由紧急呼叫等。有关使用拨号方案应用限制的更多信息,请参阅拨号方案“协作 SRND”中的“协作”部分。
专用实例中安全连接的证书要求
对于专用实例,Cisco将使用公共Certificate Authority(CA) 提供 UC 应用程序的域并签署所有证书。
专用实例–端口号和协议
下表描述了专用实例中支持的端口和协议。 用于给定客户的端口取决于客户的部署和解决方案。 协议取决于客户的首选项(SCCP与SIP)、现有的本地部署设备以及确定每个部署中要使用哪些端口的安全性级别。
 | 专用实例不允许终端和Unified CM之间的网络地址转换(NAT),因为某些呼叫流功能无法工作,例如呼叫中功能。 |
专用实例 - 客户端口
可供客户使用的端口(内部客户实例与专用实例之间)如表 1 所示专用实例客户端口。 下面列出的所有端口均适用于流经对等互连链路的客户流量。
| 默认情况下,SNMP端口仅为Cisco Emergency Responder打开以支持其功能。 由于我们不支持合作伙伴或客户监控在专用实例云中部署的UC应用程序,因此我们不允许为任何其他UC应用程序打开SNMP端口。 |
 | 建议Cisco为其他云集成、合作伙伴或客户管理员保留5063至5080范围内的端口,不要在其配置中使用这些端口。 |
协议 | TCP/UDP | 来源 | 目标位置 | 源端口 | 目标端口 | 目的 | ||
|---|---|---|---|---|---|---|---|---|
SSH |
TCP |
客户端 |
UC 应用程序
|
大于 1023 |
22 |
管理 |
||
TFTP |
UDP |
端点 |
Unified CM |
大于 1023 |
69 |
旧版终端支持 |
||
LDAP |
TCP |
UC 应用程序 |
外部目录 |
大于 1023 |
389 |
目录同步到客户 LDAP |
||
HTTPS |
TCP |
浏览器 |
UC 应用程序 |
大于 1023 |
443 |
自助和管理界面的 Web 访问 |
||
外发邮件(安全) |
TCP |
UC 应用程序 |
CUCxn |
大于 1023 |
587 |
用于撰写安全消息并将其发送给任何指定的收件人 |
||
LDAP(安全) |
TCP |
UC 应用程序 |
外部目录 |
大于 1023 |
636 |
目录同步到客户 LDAP |
||
H323 |
TCP |
网关 |
Unified CM |
大于 1023 |
1720 |
呼叫信令 |
||
H323 |
TCP |
Unified CM |
Unified CM |
大于 1023 |
1720 |
呼叫信令 |
||
SCCP |
TCP |
端点 |
Unified CM管理,CUCxn |
大于 1023 |
2000 |
呼叫信令 |
||
SCCP |
TCP |
Unified CM |
Unified CM |
大于 1023 |
2000 |
呼叫信令 |
||
MGCP |
UDP |
网关 |
网关 |
大于 1023 |
2427 |
呼叫信令 |
||
MGCP回程 |
TCP |
网关 |
Unified CM |
大于 1023 |
2428 |
呼叫信令 |
||
SCCP(安全) |
TCP |
端点 |
Unified CM管理,CUCxn |
大于 1023 |
2443 |
呼叫信令 |
||
SCCP(安全) |
TCP |
Unified CM |
Unified CM |
大于 1023 |
2443 |
呼叫信令 |
||
信任验证 |
TCP |
端点 |
Unified CM |
大于 1023 |
2445 |
为终端提供信任验证服务 |
||
CTI |
TCP |
端点 |
Unified CM |
大于 1023 |
2748 |
CTI 应用程序 (JTAPI/TSP) 和 CTIManager 之间的连接 |
||
安全 CTI |
TCP |
端点 |
Unified CM |
大于 1023 |
2749 |
CTI 应用程序 (JTAPI/TSP) 和 CTIManager 之间的安全连接 |
||
LDAP 全局编录 |
TCP |
UC 应用程序 |
外部目录 |
大于 1023 |
3268 |
目录同步到客户 LDAP |
||
LDAP 全局编录 |
TCP |
UC 应用程序 |
外部目录 |
大于 1023 |
3269 |
目录同步到客户 LDAP |
||
CAPF 服务 |
TCP |
端点 |
Unified CM |
大于 1023 |
3804 |
Certificate Authority代理功能 (CAPF) 侦听端口,用于向 IP 电话颁发本地有效证书 (LSC) |
||
SIP |
TCP |
端点 |
Unified CM管理,CUCxn |
大于 1023 |
5060 |
呼叫信令 |
||
SIP |
TCP |
Unified CM |
Unified CM |
大于 1023 |
5060 |
呼叫信令 |
||
SIP(安全) |
TCP |
端点 |
Unified CM |
大于 1023 |
5061 |
呼叫信令 |
||
SIP(安全) |
TCP |
Unified CM |
Unified CM |
大于 1023 |
5061 |
呼叫信令 |
||
SIP(OAUTH) |
TCP |
端点 |
Unified CM |
大于 1023 |
5090 |
呼叫信令 |
||
XMPP |
TCP |
Jabber 客户端 |
Cisco IM&P |
大于 1023 |
5222 |
即时消息传递和在线状态 |
||
HTTP |
TCP |
端点 |
Unified CM |
大于 1023 |
6970 |
将配置和映像下载到终端 |
||
HTTPS |
TCP |
端点 |
Unified CM |
大于 1023 |
6971 |
将配置和映像下载到终端 |
||
HTTPS |
TCP |
端点 |
Unified CM |
大于 1023 |
6972 |
将配置和映像下载到终端 |
||
HTTP |
TCP |
Jabber 客户端 |
CUCxn |
大于 1023 |
7080 |
语音邮件通知 |
||
HTTPS |
TCP |
Jabber 客户端 |
CUCxn |
大于 1023 |
7443 |
安全的语音邮件通知 |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
大于 1023 |
7501 |
由群集间查询服务(ILS) 使用,用于基于证书的身份验证 |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
大于 1023 |
7502 |
由 ILS 使用,用于基于密码的验证 |
||
IMAP |
TCP |
Jabber 客户端 |
CUCxn |
大于 1023 |
7993 |
基于 TLS 的 IMAP |
||
HTTP |
TCP |
端点 |
Unified CM |
大于 1023 |
8080 |
旧版终端支持的目录 URI |
||
HTTPS |
TCP |
浏览器, 终端 |
UC 应用程序 |
大于 1023 |
8443 |
自助和管理界面 (UDS) 的 Web 访问 |
||
HTTPS |
TCP |
电话 |
Unified CM |
大于 1023 |
9443 |
已验证的联系人搜索 |
||
HTTP 协议 |
TCP |
端点 |
Unified CM |
大于 1023 |
9444 |
头戴式耳机管理功能 |
||
安全 RTP/SRTP |
UDP |
Unified CM |
电话 |
16384 至 32767 * |
16384 至 32767 * |
媒体(音频) -音乐保持, 报警器, 软件会议桥(基于呼叫信令打开) |
||
安全 RTP/SRTP |
UDP |
电话 |
Unified CM |
16384 至 32767 * |
16384 至 32767 * |
媒体(音频) -音乐保持, 报警器, 软件会议桥(基于呼叫信令打开) |
||
眼镜蛇 |
TCP |
客户端 |
CUCxn |
大于 1023 |
20532 |
备份和恢复应用程序套件 |
||
ICMP |
ICMP |
端点 |
UC 应用程序 |
不适用 |
不适用 |
Ping |
||
ICMP |
ICMP |
UC 应用程序 |
端点 |
不适用 |
不适用 |
Ping |
||
| DNS | UDP 和 TCP | DNS前转器 |
专用实例DNS服务器 |
大于 1023 |
53 | 客户本地DNS前转器到专用实例DNS服务器。 有关详细信息,请参阅DNS要求。 |
||
* 某些特殊情况可能使用更大的范围。 |
||||||||
专用实例- OTT端口
客户和合作伙伴可使用以下端口进行移动和Remote Access(MRA) 设置:
协议 | TCP/UCP | 来源 | 目标位置 | 源端口 | 目标端口 | 目的 |
|---|---|---|---|---|---|---|
安全 RTP/RTCP |
UDP |
高速公路 C |
客户端 |
大于 1023 |
36000-59999 |
用于 MRA 和 B2B 呼叫的安全媒体 |
多租户和专用实例之间的互操作SIP干线(仅适用于基于注册的干线)
对于多租户和专用实例之间基于注册的SIP干线连接,客户防火墙上需要允许以下端口列表。
协议 | TCP/UCP | 来源 | 目标位置 | 源端口 | 目标端口 | 目的 |
|---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex 多租户 |
客户端 |
大于 1023 |
8000-48198 |
来自Webex 多租户的媒体 |
专用实例– UCCX端口
客户和合作伙伴可以使用以下端口列表来配置 UCCX。
协议 | TCP/UCP | 来源 | 目标位置 | 源端口 | 目标端口 | 目的 |
|---|---|---|---|---|---|---|
SSH |
TCP |
客户端 |
UCCX |
大于 1023 |
22 |
SFTP 和 SSH |
Informix |
TCP |
客户端或服务器 |
UCCX |
大于 1023 |
1504 |
Contact Center Express数据库端口 |
SIP |
UDP 和 TCP |
SIP GW 或 MCRP 服务器 |
UCCX |
大于 1023 |
5065 |
与远程 GW 和 MCRP 节点通信 |
XMPP |
TCP |
客户端 |
UCCX |
大于 1023 |
5223 |
Finesse 服务器与自定义第三方应用程序之间的安全 XMPP 连接 |
CVD |
TCP |
客户端 |
UCCX |
大于 1023 |
6999 |
编辑器到 CCX 应用程序 |
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
7443 |
Finesse 服务器与代理和监控桌面之间的安全 BOSH 连接,用于通过 HTTPS 的通信 |
HTTP |
TCP |
客户端 |
UCCX |
大于 1023 |
8080 |
实时数据报告客户端连接到socket.IO服务器 |
HTTP |
TCP |
客户端 |
UCCX |
大于 1023 |
8081 |
客户端浏览器尝试访问Cisco Unified Intelligence Center Web 界面 |
HTTP |
TCP |
客户端 |
UCCX |
大于 1023 |
8443 |
管理GUI、RTMT、通过SOAP的数据库访问 |
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
8444 |
Cisco Unified Intelligence Center Web 界面 |
HTTPS |
TCP |
浏览器和 REST 客户端 |
UCCX |
大于 1023 |
8445 |
Finesse 的安全端口 |
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
8447 |
HTTPS - Unified Intelligence Center 联机帮助 |
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
8553 |
单点登录(SSO)组件可访问此接口以了解Cisco IdS的运行状态。 |
HTTP |
TCP |
客户端 |
UCCX |
大于 1023 |
9080 |
客户端尝试访问 HTTP 触发器或文档/提示/语法/实时数据。 |
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
9443 |
用于响应客户端尝试访问 HTTPS 触发器的安全端口 |
TCP |
TCP |
客户端 |
UCCX |
大于 1023 |
12014 |
这是实时数据报告客户端可以连接到socket.IO服务器的端口 |
TCP |
TCP |
客户端 |
UCCX |
大于 1023 |
12015 |
这是实时数据报告客户端可以连接到socket.IO服务器的端口 |
CTI |
TCP |
客户端 |
UCCX |
大于 1023 |
12028 |
到CCX的第三方CTI客户端 |
RTP(媒体) |
TCP |
端点 |
UCCX |
大于 1023 |
大于 1023 |
媒体端口根据需要动态打开 |
RTP(媒体) |
TCP |
客户端 |
端点 |
大于 1023 |
大于 1023 |
媒体端口根据需要动态打开 |
客户端安全
使用 SIP OAuth 保护 Jabber 和 Webex
Jabber 和 Webex 客户端通过 OAuth 令牌而非当地有效证书(LSC) 进行身份验证,本地有效证书 (LSC) 不需要启用证书权限代理功能(CAPF)(也适用于 MRA)。 Cisco Unified CM 12.5(1)、Jabber 12.5 和 Expressway X12.5 中引入了使用或不使用混合模式的 SIP OAuth。
在Cisco Unified CM 12.5 中,我们在电话安全配置文件中提供了一个新选项,可使用 SIP 注册中的单传输层安全(TLS) + OAuth 令牌启用无需 LSC/CAPF 的加密。 Expressway-C 节点使用管理 XML Web 服务 (AXL) API 来通知Cisco Unified CM其证书中的 SN/SAN。 Cisco Unified CM在建立 MTLS 连接时使用此信息来验证 Exp-C 证书。
SIP OAuth 无需终端证书 (LSC) 即可启用媒体和信令加密。
Cisco Jabber通过与 TFTP 服务器的 HTTPS 连接使用临时端口和安全端口 6971 和 6972 端口来下载配置文件。 端口 6970 是一个非安全端口,用于通过 HTTP 下载。
有关 SIP OAuth 配置的更多详细信息: SIP OAuth 模式。
DNS要求
对于专用实例, Cisco采用以下格式为每个区域的服务提供 FQDN<customer> 。<region> .wxc-di.webex.com例如, xyz.amer.wxc-di.webex.com 。
'customer' 值由管理员作为首次设置向导(FTSW) 的一部分提供。 有关更多信息,请参阅专用实例服务激活。
此 FQDN 的 DNS 记录需要可从客户的内部DNS 服务器解析,以支持连接到专用实例的本地部署设备。 为了促进解决问题,客户需要在其指向专用实例 DNS 服务的DNS 服务器上为此 FQDN 配置条件转发器。 专用实例 DNS 服务是区域性的,可以使用下表中提到的以下 IP 地址通过专用实例的对等连接访问专用实例 DNS 服务 IP 地址。
地区/DC | 专用实例 DNS 服务 IP 地址 | 条件转发示例 |
|---|---|---|
美洲地区 |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
欧洲、中东及非洲 |
<customer>.emea.wxc-di.webex.com |
|
鎴戜滑 |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
亚太地区 |
<customer>.apjc.wxc-di.webex.com |
|
罪 |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
澳大利亚 |
<customer>.aus.wxc-di.webex.com | |
最低设备清单 |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
| 出于安全原因,上述DNS 服务器IP 地址的 ping 选项已禁用。 |
在条件转发实施之前,设备无法从客户内部网络通过对等连接链路注册到专用实例。 通过移动和Remote Access(MRA) 进行注册不需要条件转发,因为促进 MRA 所需的所有外部 DNS 记录都将由Cisco预先设置。
将 Webex 应用程序用作专用实例上的呼叫软客户端时,需要在 Control Hub 中为每个区域的语音服务域 (VSD) 配置 UC Manager 配置文件。 有关更多信息,请参阅Cisco Webex Control Hub中的 UC Manager 配置文件。 Webex 应用程序将能够自动解析客户的 Expressway Edge,无需任何最终用户干预。
| 服务激活完成后,语音服务域将作为合作伙伴访问文档的一部分提供给客户。 |
参考
Cisco Collaboration 12.x 解决方案参考网络设计 (SRND),安全主题: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Cisco Unified Communications Manager安全指南: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
