专用实例的网络要求

Webex Calling 专用实例是 Cisco Cloud Calling 产品组合的一部分,该组合由 Cisco Unified Communications Manager (Cisco Unified CM) 协作技术提供支持。专用实例提供语音、视频、消息传递和移动解决方案,其功能和优点与 Cisco IP 电话、移动设备和桌面客户端安全地连接到专用实例。

本文面向网络管理员,尤其是希望在其组织中使用专用实例的防火墙和代理安全管理员。

安全概述:分层安全

专用实例 使用分层安全方法。这些层包括:

  • 物理访问

  • 网络

  • 终端

  • UC 应用程序

以下各节描述了专用实例部署 中 的安全性层。

物理安全性

向 Equinix Meet-Me 协作室位置和 Cisco 专用实例 数据中心设备提供物理安全性非常重要。当物理安全受到影响时,可能会发起简单攻击,例如关闭客户的交换机电源,以造成服务中断。通过物理访问,攻击者可以访问服务器设备、重置密码并访问交换机。物理访问还有助于进行更先进的攻击,例如中间人攻击,这也是第二层安全性层(网络安全)至关重要的原因。

自助加密驱动器用于托管 UC 应用程序的专用实例数据中心。

有关一般安全实践的更多信息,请参阅以下位置的文档: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html

网络安全

合作伙伴需要确保所有网络 元素在专用实例基础结构(通过 Equinix 进行连接)中安全保护。合作伙伴负责确保安全性最佳实践,例如:

  • 分开语音和数据 VLAN

  • 启用端口安全,该端口限制每个端口允许的 MAC 地址数量,与摄像头表格设置

  • 防止欺骗 IP 地址的 IP 源防止

  • 动态 ARP 检查 (DAI) 检查地址分辨率协议 (ARP) 和标准 ARP (GARP) 以违反 (针对 ARP 电子欺骗)

  • 802.1x 限制网络访问,以在分配的 VLANS 上验证设备(电话支持 802。1x)

  • 针对语音数据包的合适标记配置服务质量 (QoS)

  • 用于阻止任何其他流量的防火墙端口配置

端点安全

Cisco 终端支持缺省安全功能,例如签名固件、安全启动(所选型号)、制造商安装的证书 (MIC) 和签名配置文件,这些为终端提供一定的安全性。

此外,合作伙伴或客户还可以启用其他安全性,例如:

  • 为 Extension Mobility 等服务加密 IP 电话服务(通过 HTTPS)

  • 颁发来自证书颁发机构代理功能 (CAPF) 或公共认证中心 (CA) 的本地重要证书 (LSCs)

  • 加密配置文件

  • 加密媒体和信令

  • 如果它们未使用,请禁用这些设置:PC 端口,PC 语音 VLAN 访问,免费 ARP,Web 访问,设置按钮,SSH,控制台

在专用实例中 实施安全机制可防止电话和 Unified CM 服务器的身份被篡改、数据被篡改以及呼叫信令/媒体流篡改。

网络上专用实例:

  • 建立和维护经验证的通信流

  • 在将文件传输到电话之前对文件进行数字签名

  • 加密不同 IP 电话之间的媒体流Cisco Unified信令

默认安全设置

缺省情况下,安全性功能为网络 IP 电话Cisco Unified安全功能:

  • 签署电话配置文件

  • 支持电话配置文件加密

  • 使用 Tomcat 和其他 Web 服务 (MIDlet) 的 HTTPS

对于 Unified CM 发行版 8.0,这些安全功能在缺省情况下不运行证书信任列表 (CTL) 客户端提供。

信任验证服务

由于网络中存在大量电话,且 IP 电话的内存有限,Cisco Unified CM 通过信任验证服务 (TVS) 充当远程信任库,因此无需在每个电话上放置证书信任库。Cisco IP 电话联系 TVS 服务器进行验证,因为他们无法通过 CTL 或 ITL 文件验证签名或证书。与在每个 ip 电话上存储信任库比在每个 IP 电话上拥有信任库Cisco Unified方便。

通过电视Cisco Unified IP 电话在 HTTPS 安装期间验证应用程序服务器(例如 EM 服务、目录和 MIDlet)。

初始信任列表

初始信任列表 (ITL) 文件用于初始安全性,以便终端可以信任 Cisco Unified CM。ITL 不需要明确启用任何安全功能。ITL 文件在安装集群时自动创建。Unified CM 普通文件传输协议 (TFTP) 服务器的私钥用于签署 ITL 文件。

当Cisco Unified CM 集群或服务器进入非安全模式时,ITL 文件将下载到每个受支持的 Cisco IP 电话上。合作伙伴可以使用 CLI 命令查看 ITL 文件的内容,管理:show itl。

默认情况下,合作伙伴管理员被授予 CLI 的 1 级访问权限。请参阅 关于 CLI 以了解更多信息并查看哪些命令在第 1 级被允许。

Cisco IP 电话需要 ITL 文件才能执行以下任务:

  • 与 CAPF 安全地通信,这是支持配置文件加密的前提条件

  • 验证配置文件签名

  • 在使用 TVS 的 HTTPS 安装期间验证应用程序服务器(例如 EM 服务、目录和 MIDlet)

Cisco CTL

设备、文件和信令验证需要创建证书信任列表 (CTL) 文件,该文件是在合作伙伴或客户安装并配置 Cisco 证书信任列表客户端时创建的。

CTL 文件包含下列服务器或安全令牌的条目:

  • 系统管理员安全令牌 (SAST)

  • 在同一服务器上运行的 Cisco CallManager 和 Cisco TFTP 服务

  • 认证中心代理功能 (CAPF)

  • TFTP 服务器

  • ASA 防火墙

CTL 文件包含服务器证书、公钥、序列号、签名、颁发者名称、主体名称、服务器功能、DNS 名称和每个服务器的 IP 地址。

使用 CTL 的电话安全性提供以下功能:

  • 使用签名密钥验证 TFTP 下载的文件(配置、区域设置、响铃列表等)

  • 使用签名密钥对 TFTP 配置文件进行加密

  • IP 电话的加密呼叫信令

  • IP 电话的加密呼叫音频(媒体)

专用实例中 Cisco IP 电话的安全性

专用实例 提供终端注册和呼叫处理。Cisco Unified CM 和终端之间的信令基于 Secure Skinny Client Control Protocol (SCCP) 或 会话发起协议 (SIP),可以使用传输层安全性 (TLS) 进行加密。传输至终端的媒体基于实时传输协议 (RTP),还可使用安全 RTP (SRTP) 进行加密。

在 Unified CM 上启用混合模式后,可以加密与 Cisco 终端之间的信令和媒体流量。

安全的 UC 应用程序

在专用实例中启用混合模式

专用实例中默认启用混合模式。

在专用实例中启用 混合 模式后,可以对 Cisco 终端之间的信令和媒体流量执行加密。

在 Cisco Unified CM 发行版 12.5(1)中,添加了针对 Jabber 和 Webex 客户端启用基于 SIP OAuth 而非混合模式 /CTL 进行信令和媒体加密的新选项。因此,在 Unified CM 发行版 12.5(1)中,SIP OAuth 和 SRTP 可用于为 Jabber 或 Webex 客户端启用信令和媒体加密。目前,Cisco IP 电话和其他 Cisco 终端需要启用混合模式。我们计划在未来发行版中为 7800/8800 终端添加对 SIP OAuth 的支持。

语音消息安全

Cisco Unity Connection通过 TLS 端口连接到 Unified CM。如果设备安全模式不安全,Cisco Unity Connection通过 SCCP 端口连接到 Unified CM。

要配置运行 SCCP 或 Cisco Unity Connection 设备的 Unified CM 语音消息端口和 Cisco Unity 设备的安全性,合作伙伴可以选择该端口的安全设备安全模式。如果您选择经验证的语音邮件端口,TLS 连接将打开,该连接使用相互证书交换来验证设备(每个设备接受另一设备的证书)。如果您选择加密的语音邮件端口,系统会先验证设备,然后在设备之间发送加密的语音流。

有关安全语音消息端口的信息,请参阅: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

SRST、中继、网关、CUBE/SBC 的安全性

如果Cisco Unified上的 Cisco Unified CM 无法完成呼叫,启用代理远程站点电话 (SRST) 的网关提供有限的呼叫处理任务。

启用 SRST 的安全网关包含自签名证书。合作伙伴在 Unified CM 管理中执行 SRST 配置任务后,Unified CM 使用 TLS 连接向启用了 SRST 的网关中的证书提供程序服务进行验证。Unified CM 随后从启用 SRST 的网关检索证书,并将证书添加到 Unified CM 数据库。

合作伙伴在 Unified CM 管理中重设依赖设备后,TFTP 服务器会将启用 SRST 的网关证书添加到 phone cnf.xml 文件中,并将文件发送到电话。然后,安全电话使用 TLS 连接与启用 SRST 的网关交互。

对于从 Cisco Unified CM 发起或穿越 Cisco Unified Border Element (CUBE) 的出站 PSTN 呼叫,建议使用安全中继。

SIP 中继支持用于信令和媒体的安全呼叫;TLS 提供信令加密,SRTP 提供媒体加密。

确保 Cisco Unified CM 和 CUBE 之间的通信安全

对于 CISCO UNIFIED CM 和 CUBE 之间的安全通信,合作伙伴/客户需要使用自签名证书或 CA 签名证书。

对于自签名证书:

  1. CUBE 和 Cisco Unified CM 生成自签名证书

  2. CUBE 将证书导出到 Cisco Unified CM

  3. Cisco Unified CM 向 CUBE 导出证书

对于 CA 签名证书:

  1. 客户端生成密钥对并将证书签名请求 (CSR) 发送给证书颁发机构 (CA)

  2. CA 使用其私钥来签署证书,从而创建身份证书

  3. 客户端会安装受信任的 CA 根证书和一览表以及身份证书

远程端点的安全性

使用移动Remote Access (MRA) 终端时,信令和媒体始终在 MRA 终端和不同节点Expressway加密。如果对 MRA 终端使用交互连接修正 (ICE) 协议,则要求对 MRA 终端进行信令和媒体加密。但是,对 Expressway-C 和内部 Unified CM 服务器、内部终端或其他内部设备之间的信令和媒体加密要求使用混合模式或 SIP OAuth。

Cisco Expressway为 Unified CM 注册提供安全防火墙穿越和线路端支持。Unified CM 为移动设备和本地终端提供呼叫控制。信号在远程终端Expressway Unified CM 之间穿越安全解决方案。媒体将穿越 Expressway解决方案,并直接在终端之间传递。所有媒体在 Expressway-C 和移动终端之间加密。

任何 MRA 解决方案Expressway具有 MRA 兼容的软客户端和/或固定终端的云和 Unified CM。该解决方案可以选择包含即时消息和在线状态服务和 Unity Connection。

协议摘要

下表显示 Unified CM 解决方案中使用的协议和相关服务。

表 1. 协议和相关服务

协议

安全性

服务

SIP

TLS

会话时间:注册、邀请等

HTTPS

TLS

登录,设置/配置,目录,可视语音邮件

媒体

SRTP

媒体:音频、视频、内容共享

Xmpp

TLS

即时消息、在线状态、联合

有关 MRA 配置的信息,请参阅: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

配置选项

专用 实例 使合作伙伴能够灵活地通过完全控制第二天的两种配置来为最终用户定制服务。因此,合作伙伴自行负责 为最终用户的环境正确配置专用实例服务。包括但不仅限于:

  • 选择安全/不安全的呼叫、安全/不安全的协议(例如 SIP/sSIP、http/https 等)并理解任何相关风险。

  • 对于在专用实例中未配置为安全 SIP 的所有 MAC 地址,攻击者可以使用该 MAC 地址发送 SIP 注册消息并能够进行 SIP 呼叫,从而造成收费欺诈。如果攻击者知道在专用实例中注册设备的 MAC 地址,无需授权即可将 SIP 设备/ 软件注册 到专用实例。

  • Expressway-E 呼叫策略,应配置转换和搜索规则以防止收费欺诈。有关防止使用 Expressway 进行收费欺诈的信息,请参阅协作 SRND Expressway C Expressway-E 部分的安全性

  • 拨号计划配置,以确保用户只能拨打允许的目的地,例如禁止 national/international 拨号、紧急呼叫是否正确转接等。有关使用拨号计划应用限制的更多信息,请参阅 Collaboration SRND 的 拨号计划 部分。

专用实例中安全连接的证书要求

对于专用实例,Cisco 将提供域,并签署所有使用公共证书颁发机构 (CA) 的 UC 应用程序的证书。

专用实例 – 端口号和协议

下表描述了专用实例中支持的端口和协议。特定客户使用的端口取决于客户的部署和解决方案。协议取决于客户的偏好(SCCP 与 SIP)、现有的内部设备以及确定每次部署中要使用哪些端口的安全级别。

专用实例不允许端点和统一 CM 之间的网络地址转换 (NAT),因为某些呼叫流功能将无法工作,例如呼叫中功能。

专用实例 - 客户端口

表 1 专用实例客户端口中显示的是客户本地部署和专用实例之间的可用端口。下面列出的所有端口都用于穿越对等链接的客户流量。

SNMP 端口默认仅为 Cisco Emergency Responder 开放以支持其功能。由于我们不支持合作伙伴或客户监控专用实例云中部署的 UC 应用程序,因此我们不允许为任何其他 UC 应用程序打开 SNMP 端口。

SNMP 端口已为 Singlewire(Informacast)应用程序启用(仅适用于 Unified CM 应用程序)。提交请求时,请确保在请求的 允许原因 部分中明确提及与 Singlewire 应用程序关联的 IP 地址。有关详细信息,请参阅 提出服务请求

5063–5080 范围内的端口由 Cisco 保留用于其他云集成,建议合作伙伴或客户管理员不要在其配置中使用这些端口。

表 2. 专用实例客户端口

协议

TCP/UDP

Target

目标位置

源端口

目标端口

目的

Ssh

TCP

客户端

UC 应用程序

不允许用于 Cisco Expressway 应用程序。

大于 1023

22

管理

TFTP

UDP

端点

Unified CM

大于 1023

69

旧式端点支持

LDAP

TCP

UC 应用程序

外部目录

大于 1023

389

目录与客户 LDAP 同步

HTTPS

TCP

浏览器

UC 应用程序

大于 1023

443

针对自助和管理界面的 Web 访问

出站邮件(安全)

TCP

UC 应用程序

CUCxn

大于 1023

587

用于撰写安全消息并发送给任何指定的接收者

LDAP(安全)

TCP

UC 应用程序

外部目录

大于 1023

636

目录与客户 LDAP 同步

H323

TCP

网关

Unified CM

大于 1023

1720

呼叫信令

H323

TCP

Unified CM

Unified CM

大于 1023

1720

呼叫信令

SCCP

TCP

端点

Unified CM、CUCxn

大于 1023

2000

呼叫信令

SCCP

TCP

Unified CM

Unified CM,网关

大于 1023

2000

呼叫信令

MGCP

UDP

网关

网关

大于 1023

2427

呼叫信令

MGCP回程

TCP

网关

Unified CM

大于 1023

2428

呼叫信令

SCCP(安全)

TCP

端点

Unified CM、CUCxn

大于 1023

2443

呼叫信令

SCCP(安全)

TCP

Unified CM

Unified CM,网关

大于 1023

2443

呼叫信令

信任验证

TCP

端点

Unified CM

大于 1023

2445

向终端提供信任验证服务

CTI

TCP

端点

Unified CM

大于 1023

2748

CTI 应用程序 (JTAPI/TSP) 和 CTIManager 之间的连接

安全的 CTI

TCP

端点

Unified CM

大于 1023

2749

CTI 应用程序 (JTAPI/TSP) 和 CTIManager 之间的安全连接

LDAP 全球目录

TCP

UC 应用程序

外部目录

大于 1023

3268

目录与客户 LDAP 同步

LDAP 全球目录

TCP

UC 应用程序

外部目录

大于 1023

3269

目录与客户 LDAP 同步

CAPF 服务

TCP

端点

Unified CM

大于 1023

3804

证书中心代理功能 (CAPF) 侦听端口,用于向 IP 电话颁发本地重要证书 (LSC)

SIP

TCP

端点

Unified CM、CUCxn

大于 1023

5060

呼叫信令

SIP

TCP

Unified CM

Unified CM,网关

大于 1023

5060

呼叫信令

SIP(安全)

TCP

端点

Unified CM

大于 1023

5061

呼叫信令

SIP(安全)

TCP

Unified CM

Unified CM,网关

大于 1023

5061

呼叫信令

SIP (OAUTH)

TCP

端点

Unified CM

大于 1023

5090

呼叫信令

Xmpp

TCP

Jabber 客户端

Cisco 即时消息服务(IM&P)

大于 1023

5222

即时消息传输和在线状态

HTTP

TCP

端点

Unified CM

大于 1023

6970

将配置和图像下载至端点

HTTPS

TCP

端点

Unified CM

大于 1023

6971

将配置和图像下载至端点

HTTPS

TCP

端点

Unified CM

大于 1023

6972

将配置和图像下载至端点

HTTP

TCP

Jabber 客户端

CUCxn

大于 1023

7080

语音邮件通知

HTTPS

TCP

Jabber 客户端

CUCxn

大于 1023

7443

安全语音邮件通知

HTTPS

TCP

Unified CM

Unified CM

大于 1023

7501

供群集间查找服务 (ILS) 用于基于证书的验证

HTTPS

TCP

Unified CM

Unified CM

大于 1023

7502

ILS 用于基于密码的验证

Imap

TCP

Jabber 客户端

CUCxn

大于 1023

7993

IMAP over TLS

HTTP

TCP

端点

Unified CM

大于 1023

8080

旧版端点支持的目录 URI

HTTPS

TCP

浏览器,终端

UC 应用程序

大于 1023

8443

自助和管理界面、UDS 的 Web 访问

HTTPS

TCP

电话

Unified CM

大于 1023

9443

经过验证的联系人搜索

HTTPS

TCP

端点

Unified CM

大于 1023

9444

耳机管理功能

安全的 RTP/SRTP

UDP

Unified CM

电话

16384 到 32767 *

16384 到 32767 *

媒体(音频)- 保持音乐、Annunciator、软件会议桥接器(基于呼叫信号打开)

安全的 RTP/SRTP

UDP

电话

Unified CM

16384 到 32767 *

16384 到 32767 *

媒体(音频)- 保持音乐、Annunciator、软件会议桥接器(基于呼叫信号打开)

眼镜蛇

TCP

客户端

CUCxn

大于 1023

20532

备份和恢复应用程序套件

Icmp

Icmp

端点

UC 应用程序

不适用

不适用

Ping

Icmp

Icmp

UC 应用程序

端点

不适用

不适用

Ping
DNS UDP 和 TCP

DNS转发器

专用实例 DNS 服务器

大于 1023

 53

客户端 DNS 转发器到专用实例 DNS 服务器。有关更多信息,请参阅 DNS 要求

* 某些特殊情况可能使用更大的范围。

专用实例 – OTT 端口

客户和合作伙伴可以使用以下端口进行移动和远程访问 (MRA) 设置:

表 3. OTT 端口

协议

TCP/UCP

Target

目标位置

源端口

目标端口

目的

安全的 RTP/RTCP

UDP

C高速公路

客户端

大于 1023

36000-59999

用于 MRA 和 B2B 呼叫的安全媒体

多租户和专用实例之间的互操作 SIP 中继(仅适用于基于注册的中继)

对于多租户和专用实例之间基于注册的 SIP 中继连接,需要在客户防火墙上允许以下端口列表。

表 4. 基于注册的中继端口

协议

TCP/UCP

Target

目标位置

源端口

目标端口

目的

RTP/RTCP

UDP

Webex Calling 多租户

客户端

大于 1023

8000-48198

Webex Calling 多租户中的媒体

专用实例 – UCCX 端口

客户和合作伙伴可以使用以下端口列表来配置 UCCX。

表 5. Cisco UCCX 端口

协议

TCP/ UCP

Target

目标位置

源端口

目标端口

目的

Ssh

TCP

客户端

UCCX

大于 1023

22

SFTP 和 SSH

Informix

TCP

客户端或服务器

UCCX

大于 1023

1504

Contact Center Express 数据库端口

SIP

UDP 和 TCP

SIP GW 或 MCRP 服务器

UCCX

大于 1023

5065

到远程 GW 和 MCRP 节点的通信

Xmpp

TCP

客户端

UCCX

大于 1023

5223

Finesse 服务器和自定义第三方应用程序之间的安全 XMPP 连接

Cvd

TCP

客户端

UCCX

大于 1023

6999

CCX 应用程序的编辑器

HTTPS

TCP

客户端

UCCX

大于 1023

7443

Finesse 服务器与代理和监控桌面之间的安全 BOSH 连接,用于通过 HTTPS 通信

HTTP

TCP

客户端

UCCX

大于 1023

8080

实时数据报告客户端连接到socket.IO服务器

HTTP

TCP

客户端

UCCX

大于 1023

8081

尝试访问 Cisco Unified Intelligence Center Web 界面的客户端浏览器

HTTP

TCP

客户端

UCCX

大于 1023

8443

管理 GUI、RTMT、通过 SOAP 进行 DB 访问

HTTPS

TCP

客户端

UCCX

大于 1023

8444

Cisco Unified Intelligence Center Web 界面

HTTPS

TCP

浏览器和 REST 客户端

UCCX

大于 1023

8445

Finesse 的安全端口

HTTPS

TCP

客户端

UCCX

大于 1023

8447

HTTPS - Unified Intelligence Center 在线帮助

HTTPS

TCP

客户端

UCCX

大于 1023

8553

单点登录(SSO)组件访问此接口即可了解Cisco IDS的运行状态。

HTTP

TCP

客户端

UCCX

大于 1023

9080

尝试访问 HTTP 触发器或文档、提示/语法/实时数据的客户。

HTTPS

TCP

客户端

UCCX

大于 1023

9443

用于响应尝试访问 HTTPS 触发器的客户端的安全端口

TCP

TCP

客户端

UCCX

大于 1023

12014

这是实时数据报告客户端可以连接到 socket.IO 服务器的端口

TCP

TCP

客户端

UCCX

大于 1023

12015

这是实时数据报告客户端可以连接到 socket.IO 服务器的端口

CTI

TCP

客户端

UCCX

大于 1023

12028

第三方 CTI 客户端到 CCX

RTP(媒体)

TCP

端点

UCCX

大于 1023

大于 1023

根据需要动态打开媒体端口

RTP(媒体)

TCP

客户端

端点

大于 1023

大于 1023

根据需要动态打开媒体端口

客户端安全

使用 SIP OAuth 保护 Jabber Webex安全

Jabber 和 Webex 客户端通过 OAuth 令牌而不是本地重要证书 (LSC) 进行验证,该证书不要求启用认证中心代理功能 (CAPF) (也需启用 MRA)。Cisco Unified CM 12.5(1)、Jabber 12.5 和 Expressway X12.5 中引入使用或不采用混合模式的 SIP OAuth。

在 Cisco Unified CM 12.5 中,我们在电话安全档案中新增了一个选项,可在无 LSC/CAPF 的情况下使用单传输层安全性 (TLS) + SIP REGISTER 中的 OAuth 令牌进行加密。Expressway-C 节点使用管理 XML Web Service (AXL) API 来Cisco Unified证书中的 SN/SAN 通知 CM。Cisco Unified CM 在建立安全连接时,会使用此信息验证 exp-C MTLS证书。

SIP OAuth 在没有终端证书 (LSC) 的情况下启用媒体和信令加密。

Cisco Jabber 通过到 TFTP 服务器的 HTTPS 连接使用临时端口和安全端口 6971 和 6972 端口来下载配置文件。端口 6970 是一个通过 HTTP 下载的非安全端口。

有关 SIP OAuth 配置的更多详细信息:SIP OAuth 模式

DNS 要求

对于专用实例 Cisco FQDN每个区域的服务使用下列格式 。 <customer><region> wxc-di.webex.com 例如 xyz.amer.wxc-di.webex.com

“客户”值由管理员作为首次设置向导 (FTSW) 的一部分提供。有关详细信息,请参阅专用 实例服务激活

此 FQDN的 DNS 记录需要从客户的内部 DNS 服务器进行解析,以支持连接到专用实例的内部署设备。为便于解决,客户需要在指向专用实例 DNS 服务的 DNS 服务器上配置条件转发FQDN此设备。专用实例 DNS 服务是区域性的,可以通过与专用实例对等连接使用下表 专用实例 DNS 服务 IP 地址中提到的以下 IP 地址进行访问。

表 6. 专用实例 DNS 服务 IP 地址

地区/数据中心

专用实例 DNS 服务 IP 地址

条件转移示例

美洲地区

 <customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

欧洲、中东及非洲

<customer>.emea.wxc-di.webex.com

离子

178.215.138.100

Ams

178.215.138.228

欧盟

<customer>.eu.wxc-di.webex.com

法国

178.215.131.100

Ams

178.215.131.228

亚太地区

<customer>.apjc.wxc-di.webex.com

103.232.71.100

特基

103.232.71.228

澳大利亚

 <customer>.aus.wxc-di.webex.com

梅尔

178.215.128.100

西德妮

178.215.128.228

英国

 <customer>.uk.wxc-di.webex.com

离子

178.215.135.100

男人

178.215.135.228

KSA

 <customer>.sa.wxc-di.webex.com

杰德

 178.215.140.100

鲁尔区

 178.215.140.228

出于安全原因,上述 DNS 服务器 IP 地址被禁用 ping 选项。

在条件转发完成前,设备将无法通过对等链接从客户内部网络注册到专用实例。通过 Mobile 和 Remote Access (MRA) 注册时,不需要条件转发,因为所有必需的外部 DNS 记录,以便于 MRA 都由 Cisco 预先设置。

在专用Webex将应用程序用作呼叫软客户端时,需要在 Control Hub 中为各个地区的语音服务域 (VSD) 配置 UC Manager 档案。有关详细信息,请参阅 Cisco Webex Control Hub 。该Webex应用程序将能自动解决客户的 Expressway Edge 问题,无需任何最终用户干预。

语音服务域将在服务激活完成后作为合作伙伴访问文档的一部分提供给客户。

使用本地路由器进行电话 DNS 解析

对于无法访问公司 DNS 服务器的手机,可以使用本地 Cisco 路由器将 DNS 请求转发到专用实例云 DNS。这消除了部署本地 DNS 服务器的需要,并提供包括缓存在内的完整 DNS 支持。

示例配置 :

!

IP DNS服务器

IP 名称服务器 <DI DNS Server IP DC1> <DI DNS Server IP DC2>

!

此部署模型中的 DNS 使用特定于电话,并且只能用于解析来自客户专用实例的域的 FQDN。

手机DNS解析