专用实例的网络要求

Webex Calling 专用实例是 Cisco Cloud Calling 产品组合的一部分,该组合由 Cisco Unified Communications Manager (Cisco Unified CM) 协作技术提供支持。 专用实例提供语音、视频、消息传递和移动解决方案,具有与专用实例安全连接的 Cisco IP 电话、移动设备和桌面客户端的功能和优势。

本文面向网络管理员,尤其是希望在其组织中使用专用实例的防火墙和代理安全管理员。 本文档主要关注专用实例解决方案的网络要求和安全性,包括提供安全物理访问、安全网络、安全终端和安全 Cisco UC 应用程序的分层式功能。

专用实例安全连接的证书要求

对于 Webex Calling 专用实例,Cisco 将提供域,然后使用公共证书颁发机构 (CA) 签署 UC 应用程序的所有证书。

专用实例 - 端口号和协议

下表描述了专用实例支持的端口和协议。 用于给定客户的端口取决于客户的部署和解决方案。 协议取决于客户的首选项(SCCP 与 SIP)、现有本地部署部署设备以及确定每个部署使用的端口的安全性级别。

专用实例 - 客户端口

客户可用的端口 - 位于客户本地部署和专用实例之间,如表 1 专用实例 - 客户端口中所示。 下面列出的所有端口均用于穿越对等链接的客户流量。


SNMP 端口仅支持 CER 功能,不支持其他任何第三方监控工具。

表 1. 专用实例客户端口

协议

TCP/UCP

来源

目标位置

源端口

目标端口

目的

SSH

TCP

客户端

UC 应用程序

大于 1023

22

管理

LDAP

TCP

UC 应用程序

外部目录

大于 1023

389

目录与客户 LDAP 同步

HTTPS

TCP

浏览器

UC 应用程序

大于 1023

443

针对自助和管理界面的 Web 访问

LDAP(安全)

TCP

UC 应用程序

外部目录

大于 1023

636

目录与客户 LDAP 同步

SCCP

TCP

端点

Unified CM、CUCxn

大于 1023

2000

呼叫信令

SCCP

TCP

Unified CM

Unified CM、Gateway

大于 1023

2000

呼叫信令

SCCP(安全)

TCP

端点

Unified CM、CUCxn

大于 1023

2443

呼叫信令

SCCP(安全)

TCP

Unified CM

Unified CM、Gateway

大于 1023

2443

呼叫信令

信任验证

TCP

端点

Unified CM

大于 1023

2445

向终端提供信任验证服务

CTI

TCP

端点

Unified CM

大于 1023

2748

CTI 应用程序 (JTAPI/TSP) 和 CTIManager 之间的连接

安全的 CTI

TCP

端点

Unified CM

大于 1023

2749

CTI 应用程序 (JTAPI/TSP) 和 CTIManager 之间的安全连接

LDAP 全球目录

TCP

UC 应用程序

外部目录

大于 1023

3268

目录与客户 LDAP 同步

LDAP 全球目录

TCP

UC 应用程序

外部目录

大于 1023

3269

目录与客户 LDAP 同步

CAPF 服务

TCP

端点

Unified CM

大于 1023

3804

证书中心代理功能 (CAPF) 侦听端口,用于向 IP 电话颁发本地重要证书 (LSC)

SIP

TCP

端点

Unified CM、CUCxn

大于 1023

5060

呼叫信令

SIP

TCP

Unified CM

Unified CM、Gateway

大于 1023

5060

呼叫信令

SIP(安全)

TCP

端点

Unified CM

大于 1023

5061

呼叫信令

SIP(安全)

TCP

Unified CM

Unified CM、Gateway

大于 1023

5061

呼叫信令

SIP (OAUTH)

TCP

端点

Unified CM

大于 1023

5090

呼叫信令

XMPP

TCP

Jabber 客户端

Cisco 即时消息传递和在线状态服务 (IM&P)

大于 1023

5222

即时消息传递和在线状态

HTTP

TCP

端点

Unified CM

大于 1023

6970

将配置和图像下载至终端

HTTPS

TCP

端点

Unified CM

大于 1023

6971

将配置和图像下载至终端

HTTPS

TCP

端点

Unified CM

大于 1023

6972

将配置和图像下载至终端

HTTP

TCP

Jabber 客户端

CUCxn

大于 1023

7080

语音邮件通知

HTTPS

TCP

Jabber 客户端

CUCxn

大于 1023

7443

安全的语音邮件通知

HTTPS

TCP

Unified CM

Unified CM

大于 1023

7501

由集群间查找服务 (ILS) 用于基于证书的身份验证

HTTPS

TCP

Unified CM

Unified CM

大于 1023

7502

由 ILS 用于基于密码的身份验证

IMAP

TCP

Jabber 客户端

CUCxn

大于 1023

7993

通过 TLS 的 IMAP

HTTPS

TCP

浏览器、终端

UC 应用程序

大于 1023

8443

针对自助和管理界面的 Web 访问,UDS

HTTPS

TCP

Prem

Unified CM

大于 1023

9443

经过验证的联系人搜索

安全的 RTP/SRTP

UDP

Unified CM

电话

16384 至 32767 *

16384 至 32767 *

媒体(音频)- 保持音乐、报警器、会议桥接器软件(基于呼叫信令打开)

安全的 RTP/SRTP

UDP

电话

Unified CM

16384 至 32767 *

16384 至 32767 *

媒体(音频)- 保持音乐、报警器、会议桥接器软件(基于呼叫信令打开)

ICMP

ICMP

端点

UC 应用程序

不适用

不适用

Ping

ICMP

ICMP

UC 应用程序

端点

不适用

不适用

Ping

* 某些特殊情况可能使用更大的范围。

专用实例 - OTT 端口

以下端口列表供移动和远程访问 (MRA) 设置的客户和合作伙伴使用:

表 2. OTT 端口列表

协议

TCP/UCP

来源

目标位置

源端口

目标端口

目的

安全的 SIP

TCP

端点

Expressway E

大于 1023

5061

用于 MRA 注册和呼叫的安全 SIP 信令

安全的 SIP

TCP

终端/服务器

Expressway E

大于 1023

5062

B2B 呼叫的安全 SIP

安全的 RTP/RTCP

UDP

终端/服务器

Expressway E

大于 1023

36000-59999

用于 MRA 和 B2B 呼叫的安全媒体

HTTPS(安全)

TLS

客户端

Expressway E

大于 1023

8443

用于 MRA 呼叫的 CUCM UDS 和 CUCxn REST

XMLS

TLS

客户端

Expressway E

大于 1023

5222

即时通讯和在线状态

TURN

UDP

ICE 客户端

Expressway E

大于 1023

3478

ICE/STUN/TURN 协商

安全的 RTP/RTCP

UPD

ICE 客户端

Expressway E

大于 1023

24000-29999

用于 ICE 回退的 TURN 媒体

专用实例 - UCCX 端口

以下端口列表供客户和合作伙伴用于配置 UCCX。

表 3. Cisco UCCX 端口

协议

TCP / UCP

来源

目标位置

源端口

目标端口

目的

SSH

TCP

客户端

UCCX

大于 1023

22

SFTP 和 SSH

Informix

TCP

客户端或服务器

UCCX

大于 1023

1504

Unified CCX 数据库端口

SIP

UDP 和 TCP

SIP GW 或 MCRP 服务器

UCCX

大于 1023

5065

与远程 GW 和 MCRP 节点通信

XMPP

TCP

客户端

UCCX

大于 1023

5223

Finesse 服务器和自定义第三方应用程序之间的安全 XMPP 连接

CVD

TCP

客户端

UCCX

大于 1023

6999

CCX 应用程序的编辑器

HTTPS

TCP

客户端

UCCX

大于 1023

7443

Finesse 服务器与代理和监控桌面之间的安全 BOSH 连接,用于通过 HTTPS 的通信

HTTP

TCP

客户端

UCCX

大于 1023

8080

实时数据报告客户端连接到 socket.IO 服务器

HTTP

TCP

客户端

UCCX

大于 1023

8081

客户端浏览器尝试访问 Cisco Unified Intelligence Center Web 界面

HTTP

TCP

客户端

UCCX

大于 1023

8443

Admin GUI、RTMT、通过 SOAP 访问 DB

HTTPS

TCP

客户端

UCCX

大于 1023

8444

Cisco Unified Intelligence Center Web 界面

HTTPS

TCP

浏览器和 REST 客户端

UCCX

大于 1023

8445

Finesse 的安全端口

HTTPS

TCP

客户端

UCCX

大于 1023

8447

HTTPS - Unified Intelligence Center 在线帮助

HTTPS

TCP

客户端

UCCX

大于 1023

8553

单点登录 (SSO) 组件访问此界面了解 Cisco IdS 的操作状态。

HTTP

TCP

客户端

UCCX

大于 1023

9080

尝试访问 HTTP 触发器或文档/提示/语法/实时数据的客户端。

HTTPS

TCP

客户端

UCCX

大于 1023

9443

用于响应尝试访问 HTTPS 触发器的客户端的安全端口

TCP

TCP

客户端

UCCX

大于 1023

12014

这是实时数据报告客户端可以连接到 socket.IO 服务器的端口

TCP

TCP

客户端

UCCX

大于 1023

12015

这是实时数据报告客户端可以连接到 socket.IO 服务器的端口

CTI

TCP

客户端

UCCX

大于 1023

12028

CCX 的第三方 CTI 客户端

RTP(媒体)

TCP

端点

UCCX

大于 1023

大于 1023

根据需要动态打开媒体端口

RTP(媒体)

TCP

客户端

端点

大于 1023

大于 1023

根据需要动态打开媒体端口

客户端安全

使用 SIP OAuth 保护 Jabber 和 Webex

Jabber 和 Webex 客户端通过 OAuth 令牌而非本地重要证书 (LSC) 进行身份验证,该证书不要求启用认证中心代理功能 (CAPF)(也需启用 MRA)。 Cisco Unified CM 12.5(1)、Jabber 12.5 和 Expressway X12.5 中引入使用或不使用混合模式的 SIP OAuth。

在 Cisco Unified CM 12.5 中,我们在电话安全档案中新增了一个选项,可在无 LSC/CAPF 的情况下在 SIP REGISTER 中使用单一传输层安全性 (TLS) + OAuth 令牌进行加密。 Expressway-C 节点使用 Administrative XML Web Service (AXL) API,通知 Unified CM 其证书中的 SN/SAN。 Cisco Unified CM 在建立相互 TLS 连接时,会使用此信息验证 Exp-C 证书。

SIP OAuth 在没有终端证书 (LSC) 的情况下启用媒体和信令加密。

Cisco Jabber 通过与 TFTP 服务器的 HTTPS 连接使用 Ephemeral 端口和安全端口 6971 和 6972 来下载配置文件。 端口 6970 是通过 HTTP 下载的非安全端口。

有关 SIP OAuth 配置的更多详细信息: SIP OAuth 模式

DNS 要求

对于专用实例,Cisco 为每个区域的服务提供以下格式 <customer>.<region>.wxc-di.webex.com 的 FQDN,例如 xyz.amer.wxc-di.webex.com

“客户”值由管理员作为首次设置向导 (FTSW) 的一部分提供。 有关更多信息,请参阅专用实例服务激活

此 FQDN 的 DNS 记录需要从客户的内部 DNS 服务器进行解析,以支持连接到专用实例的本地部署设备。 为便于解决,客户需要在指向专用实例 DNS 服务的 DNS 服务器上为此 FQDN 配置条件转发器。 专用实例 DNS 服务是一个区域,可以通过与专用实例对等连接,使用下表中提及的下列 IP 地址来访问专用实例 DNS 服务 IP 地址

表 4. 专用实例 DNS 服务 IP 地址

区域/DC

专用实例 DNS 服务 IP 地址

条件转发示例

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SIN

103.232.71.288

在条件转发就绪前,设备将无法通过对等链接从客户内部网络注册到专用实例。 通过移动和远程访问 (MRA) 注册时,不需要条件转发,因为为 MRA 进行的所有必需的外部 DNS 记录都由 Cisco 预配置。

在专用实例中将 Webex 应用程序用作呼叫软客户端时,需要在 Control Hub 中为各区域的语音服务域 (VSD) 配置 UC Manager 档案。 有关更多信息,请参阅 Cisco Webex Control Hub 中的 UC Manager 配置文件。 Webex 应用程序将能够自动解决客户的 Expressway Edge 问题,无需任何最终用户的干预。


服务激活完成后,语音服务域将作为合作伙伴访问文档的一部分向客户提供。