专用实例的网络要求
Webex Calling 专用实例是 Cisco Cloud Calling 产品组合的一部分,该组合由 Cisco Unified Communications Manager (Cisco Unified CM) 协作技术提供支持。 专用实例提供语音、视频、消息传递和移动解决方案,具有与专用实例安全连接的 Cisco IP 电话、移动设备和桌面客户端的功能和优势。
本文面向网络管理员,尤其是希望在其组织中使用专用实例的防火墙和代理安全管理员。 本文档主要关注专用实例解决方案的网络要求和安全性,包括提供安全物理访问、安全网络、安全终端和安全 Cisco UC 应用程序的分层式功能。
安全性概述: 分层的安全性
专用实例使用分层的安全性方法。 这些层包括:
物理访问
网络
终端
UC 应用程序
以下各部分描述了专用实例部署中的安全性层。
物理安全
向 Equinix Meet-Me 协作室位置和 Cisco 专用实例数据中心设备提供物理安全性非常重要。 当物理安全被破坏时,攻击者就可以发起简单攻击,例如关闭客户的交换机电源,以造成服务中断。 通过物理访问,攻击者可以访问服务器设备,重设密码并访问交换机。 物理访问还有助于实施更复杂的攻击,例如中间人攻击,这也是第二个安全层(网络安全)至关重要的原因。
自助加密驱动器用于托管 UC 应用程序的专用实例数据中心。
有关常规安全实践的详细信息,请参阅以下位置的文档: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html。
网络安全
合作伙伴需要确保所有网络元素在专用实例基础设施(通过 Equinix 进行连接)中受到保护。 合作伙伴负责确保安全最佳实践,例如:
针对语音和数据分隔 VLAN
启用端口安全,以限制每个端口允许的 MAC 地址数量,防止 CAM 表溢满
针对欺骗性 IP 地址的 IP 源防御
动态 ARP 检查 (DAI) 检查地址解析协议 (ARP) 和免费 ARP (GARP) 中是否有违规情况(针对 ARP 电子欺骗)
802.1x 限制网络访问,以在分配的 VLANS 上验证设备(电话支持 802。1x)
针对语音数据包的合适标记配置服务质量 (QoS)
用于阻止任何其他流量的防火墙端口配置
终端安全
Cisco 终端支持缺省安全功能,例如签名固件、安全启动(所选型号)、制造商安装的证书 (MIC) 和签名配置文件,这些为终端提供了一定程度的安全性。
此外,合作伙伴或客户还可以启用额外安全性,例如:
为 Extension Mobility 等服务加密 IP 电话服务(通过 HTTPS)
颁发来自认证中心代理功能 (CAPF) 或公共认证中心 (CA) 的本地重要证书 (LSC)
加密配置文件
加密媒体和信令
如果未使用以下设置,请将其禁用: PC 端口、PC 语音 VLAN 访问、免费 ARP、Web 访问、“设置”按钮、SSH、控制台
在专用实例中实施安全机制可防止电话和 Unified CM 服务器的身份盗窃、数据篡改以及呼叫信令/媒体流篡改。
网络上的专用实例:
建立和维护经验证的通信流
在将文件传输到电话之前对文件进行数字签名
加密 Cisco Unified IP 电话之间的媒体流和呼叫信令
缺省情况下,安全性为 Cisco Unified IP 电话提供了以下自动安全功能:
签署电话配置文件
支持电话配置文件加密
使用 Tomcat 和其他 Web 服务 (MIDlet) 的 HTTPS
对于 Unified CM 发行版 8.0 和更高版本,这些安全功能在缺省情况下提供,无需运行证书信任列表 (CTL) 客户端。
由于网络中存在大量电话,并且 IP 电话的内存有限,Cisco Unified CM 通过信任验证服务 (TVS) 充当远程信任库,因此无需在每个电话上放置证书信任库。 Cisco IP 电话联系 TVS 服务器进行验证,因为它们无法通过 CTL 或 ITL 文件验证签名或证书。 相较于在每个 Cisco Unified IP 电话上放置信任库,使用集中信任库更便于管理。
TVS 支持 Cisco Unified IP 电话在建立 HTTPS 期间验证应用程序服务器(例如 EM 服务、目录和 MIDlet)。
初始信任列表 (ITL) 文件用于初始安全性,以便终端可以信任 Cisco Unified CM。 ITL 不需要显式启用任何安全功能。 ITL 文件在安装集群时自动创建。 Unified CM 普通文件传输协议 (TFTP) 服务器的私钥用于签署 ITL 文件。
当 Cisco Unified CM 集群或服务器处于非安全模式时,ITL 文件将下载到每个受支持的 Cisco IP 电话上。 合作伙伴可以使用 CLI 命令 admin:show itl 查看 ITL 文件的内容。
Cisco IP 电话需要 ITL 文件才能执行以下任务:
与 CAPF 安全地通信,这是支持配置文件加密的前提条件
验证配置文件签名
在使用 TVS 建立 HTTPS 期间验证应用程序服务器(例如 EM 服务、目录和 MIDlet)
设备、文件和信令验证需要创建证书信任列表 (CTL) 文件,该文件是在合作伙伴或客户安装并配置 Cisco 证书信任列表客户端时创建的。
CTL 文件包含以下服务器或安全令牌的条目:
系统管理员安全令牌 (SAST)
在同一服务器上运行的 Cisco CallManager 和 Cisco TFTP 服务
认证中心代理功能 (CAPF)
TFTP 服务器
ASA 防火墙
CTL 文件包含服务器证书、公钥、序列号、签名、颁发者名称、主体名称、服务器功能、DNS 名称和每个服务器的 IP 地址。
使用 CTL 的电话安全性提供以下功能:
使用签名密钥验证 TFTP 下载的文件(配置、区域设置、响铃列表等)
使用签名密钥对 TFTP 配置文件进行加密
IP 电话的加密呼叫信令
IP 电话的加密呼叫音频(媒体)
专用实例提供终端注册和呼叫处理。 Cisco Unified CM 和终端之间的信令基于安全 Skinny Client Control Protocol (SCCP) 或会话发起协议 (SIP),可以使用传输层安全性 (TLS) 进行加密。 与终端之间传输的媒体基于实时传输协议 (RTP),还可使用安全 RTP (SRTP) 进行加密。
在 Unified CM 上启用混合模式后,可以加密与 Cisco 终端之间的信令和媒体流量。
安全的 UC 应用程序
缺省情况下,专用实例中未启用混合模式。
在专用实例中启用混合模式后,可以对与 Cisco 终端之间的信令和媒体流量执行加密。
在 Cisco Unified CM 发行版 12.5(1) 中,为 Jabber 和 Webex 客户端添加了基于 SIP OAuth 而非混合模式/CTL 启用信令和媒体加密的新选项。 因此,在 Unified CM 发行版 12.5(1) 中,SIP OAuth 和 SRTP 可用于为 Jabber 或 Webex 客户端启用信令和媒体加密。 目前,Cisco IP 电话和其他 Cisco 终端仍然需要启用混合模式。 我们计划在未来发行版的 7800/8800 终端中添加对 SIP OAuth 的支持。
Cisco Unity Connection 通过 TLS 端口连接到 Unified CM。 如果设备安全模式不安全,Cisco Unity Connection 通过 SCCP 端口连接到 Unified CM。
要为 Unified CM 语音消息传递端口以及运行 SCCP 的 Cisco Unity 设备或运行 SCCP 的 Cisco Unity Connection 设备配置安全性,合作伙伴可以选择该端口的安全设备安全模式。 如果您选择经验证的语音邮件端口,TLS 连接将打开,该连接使用相互证书交换来验证设备(每个设备接受另一设备的证书)。 如果您选择加密的语音邮件端口,系统会先验证设备,然后在设备之间发送加密的语音流。
有关安全语音消息传递端口的详细信息,请参阅: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST、中继、网关、CUBE/SBC 的安全性
如果专用实例上的 Cisco Unified CM 无法完成呼叫,启用 Cisco Unified Survivable Remote Site Telephony (SRST) 的网关提供有限的呼叫处理任务。
启用 SRST 的安全网关包含自签名证书。 合作伙伴在 Unified CM 管理中执行 SRST 配置任务后,Unified CM 使用 TLS 连接向启用了 SRST 的网关中的证书提供程序服务进行验证。 Unified CM 随后从启用 SRST 的网关检索证书,并将证书添加到 Unified CM 数据库。
合作伙伴在 Unified CM 管理中重设依赖设备后,TFTP 服务器会将启用 SRST 的网关证书添加到电话 cnf.xml 文件中,并将该文件发送到电话。 然后,安全电话使用 TLS 连接与启用 SRST 的网关交互。
对于出站 PSTN 呼叫或穿越 Cisco Unified Border Element (CUBE),建议将源自 Cisco Unified CM 的呼叫的安全中继用于网关。
SIP 中继可以针对信令以及媒体支持安全呼叫;TLS 提供信令加密,SRTP 提供媒体加密。
保护 Cisco Unified CM 和 CUBE 之间的通信
要在 Cisco Unified CM 和 CUBE 之间进行安全通信,合作伙伴/客户需要使用自签名证书或 CA 签名证书。
对于自签名证书:
CUBE 和 Cisco Unified CM 生成自签名证书
CUBE 将证书导出到 Cisco Unified CM
Cisco Unified CM 将证书导出到 CUBE
对于 CA 签名证书:
客户端生成密钥对并将证书签名请求 (CSR) 发送给认证中心 (CA)
CA 使用其私钥对其进行签署,从而创建身份证书
客户端安装受信任的 CA 根证书和中间证书以及身份证书的列表
远程终端的安全性
使用移动和远程访问 (MRA) 终端时,信令和媒体始终在 MRA 终端和 Expressway 节点之间加密。 如果对 MRA 终端使用交互式连接建立 (ICE) 协议,则需要对 MRA 终端进行信令和媒体加密。 但是,对 Expressway-C 和内部 Unified CM 服务器、内部终端或其他内部设备之间的信令和媒体加密要求使用混合模式或 SIP OAuth。
Cisco Expressway 为 Unified CM 注册提供安全防火墙穿越和线路端支持。 Unified CM 为移动设备和本地终端提供呼叫控制。 信令在远程终端和 Unified CM 之间穿越 Expressway 解决方案。 媒体穿越 Expressway 解决方案,并直接在终端之间中继。 所有媒体在 Expressway-C 和移动终端之间加密。
任何 MRA 解决方案都需要 Expressway 和 Unified CM,并使用 MRA 兼容的软客户端和/或固定终端。 该解决方案可以选择包含即时消息传递和在线状态服务以及 Unity Connection。
协议摘要
下表显示 Unified CM 解决方案中使用的协议和相关服务。
协议 |
安全性 |
服务 |
---|---|---|
SIP |
TLS |
会话建立: 注册、邀请等 |
HTTPS |
TLS |
登录、预配置/配置、目录、可视语音邮件 |
媒体 |
SRTP |
媒体: 音频、视频、内容共享 |
XMPP |
TLS |
即时消息传递、在线状态、联合 |
有关 MRA 配置的更多信息,请参阅: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
配置选项
专用实例使合作伙伴能够灵活地通过完全控制第二天配置来为最终用户定制服务。 因此,合作伙伴自行负责为最终用户的环境正确配置专用实例服务。 这包括但不仅限于:
选择安全/不安全的呼叫、安全/不安全的协议(例如 SIP/sSIP、http/https 等)并理解任何相关风险。
对于在专用实例中未配置为安全 SIP 的所有 MAC 地址,攻击者可以使用该 MAC 地址发送 SIP 注册消息并能够进行 SIP 呼叫,从而造成话费欺诈。 前提条件是攻击者如果知道在专用实例中注册的设备的 MAC 地址,无需授权即可将其 SIP 设备/软件注册到专用实例。
应配置 Expressway-E 呼叫策略、转换和搜索规则以防止话费欺诈。 有关使用 Expressway 防止话费欺诈的详细信息,请参阅协作 SRND 的“Expressway C 和 Expressway-E 的安全性”部分。
拨号方案配置,用于确保用户只能拨打允许的目标,例如,禁止国内/国际拨号、正确路由紧急呼叫等。有关使用拨号方案应用限制的详细信息,请参阅协作 SRND 的拨号方案部分。
专用实例安全连接的证书要求
对于专用实例,Cisco 将提供域,然后使用公共认证中心 (CA) 签署 UC 应用程序的所有证书。
专用实例 - 端口号和协议
下表描述了专用实例支持的端口和协议。 用于给定客户的端口取决于客户的部署和解决方案。 协议取决于客户的首选项(SCCP 与 SIP)、现有本地部署部署设备以及确定每个部署使用的端口的安全性级别。
专用实例 - 客户端口
客户可用的端口 - 位于客户本地部署和专用实例之间,如表 1 专用实例 - 客户端口中所示。 下面列出的所有端口均用于穿越对等链接的客户流量。
SNMP 端口仅支持 CER 功能,不支持其他任何第三方监控工具。 |
Cisco 为其他云集成保留 5063 至 5080 范围的端口,建议合作伙伴或客户管理员在配置中不要使用这些端口。 |
协议 |
TCP/UCP |
来源 |
目标位置 |
源端口 |
目标端口 |
目的 |
---|---|---|---|---|---|---|
SSH |
TCP |
客户端 |
UC 应用程序 |
大于 1023 |
22 |
管理 |
LDAP |
TCP |
UC 应用程序 |
外部目录 |
大于 1023 |
389 |
目录与客户 LDAP 同步 |
HTTPS |
TCP |
浏览器 |
UC 应用程序 |
大于 1023 |
443 |
针对自助和管理界面的 Web 访问 |
LDAP(安全) |
TCP |
UC 应用程序 |
外部目录 |
大于 1023 |
636 |
目录与客户 LDAP 同步 |
SCCP |
TCP |
端点 |
Unified CM、CUCxn |
大于 1023 |
2000 |
呼叫信令 |
SCCP |
TCP |
Unified CM |
Unified CM、Gateway |
大于 1023 |
2000 |
呼叫信令 |
SCCP(安全) |
TCP |
端点 |
Unified CM、CUCxn |
大于 1023 |
2443 |
呼叫信令 |
SCCP(安全) |
TCP |
Unified CM |
Unified CM、Gateway |
大于 1023 |
2443 |
呼叫信令 |
信任验证 |
TCP |
端点 |
Unified CM |
大于 1023 |
2445 |
向终端提供信任验证服务 |
CTI |
TCP |
端点 |
Unified CM |
大于 1023 |
2748 |
CTI 应用程序 (JTAPI/TSP) 和 CTIManager 之间的连接 |
安全的 CTI |
TCP |
端点 |
Unified CM |
大于 1023 |
2749 |
CTI 应用程序 (JTAPI/TSP) 和 CTIManager 之间的安全连接 |
LDAP 全球目录 |
TCP |
UC 应用程序 |
外部目录 |
大于 1023 |
3268 |
目录与客户 LDAP 同步 |
LDAP 全球目录 |
TCP |
UC 应用程序 |
外部目录 |
大于 1023 |
3269 |
目录与客户 LDAP 同步 |
CAPF 服务 |
TCP |
端点 |
Unified CM |
大于 1023 |
3804 |
证书中心代理功能 (CAPF) 侦听端口,用于向 IP 电话颁发本地重要证书 (LSC) |
SIP |
TCP |
端点 |
Unified CM、CUCxn |
大于 1023 |
5060 |
呼叫信令 |
SIP |
TCP |
Unified CM |
Unified CM、Gateway |
大于 1023 |
5060 |
呼叫信令 |
SIP(安全) |
TCP |
端点 |
Unified CM |
大于 1023 |
5061 |
呼叫信令 |
SIP(安全) |
TCP |
Unified CM |
Unified CM、Gateway |
大于 1023 |
5061 |
呼叫信令 |
SIP (OAUTH) |
TCP |
端点 |
Unified CM |
大于 1023 |
5090 |
呼叫信令 |
XMPP |
TCP |
Jabber 客户端 |
Cisco 即时消息传递和在线状态服务 (IM&P) |
大于 1023 |
5222 |
即时消息传递和在线状态 |
HTTP |
TCP |
端点 |
Unified CM |
大于 1023 |
6970 |
将配置和图像下载至终端 |
HTTPS |
TCP |
端点 |
Unified CM |
大于 1023 |
6971 |
将配置和图像下载至终端 |
HTTPS |
TCP |
端点 |
Unified CM |
大于 1023 |
6972 |
将配置和图像下载至终端 |
HTTP |
TCP |
Jabber 客户端 |
CUCxn |
大于 1023 |
7080 |
语音邮件通知 |
HTTPS |
TCP |
Jabber 客户端 |
CUCxn |
大于 1023 |
7443 |
安全的语音邮件通知 |
HTTPS |
TCP |
Unified CM |
Unified CM |
大于 1023 |
7501 |
由集群间查找服务 (ILS) 用于基于证书的身份验证 |
HTTPS |
TCP |
Unified CM |
Unified CM |
大于 1023 |
7502 |
由 ILS 用于基于密码的身份验证 |
IMAP |
TCP |
Jabber 客户端 |
CUCxn |
大于 1023 |
7993 |
通过 TLS 的 IMAP |
HTTPS |
TCP |
浏览器、终端 |
UC 应用程序 |
大于 1023 |
8443 |
针对自助和管理界面的 Web 访问,UDS |
HTTPS |
TCP |
Prem |
Unified CM |
大于 1023 |
9443 |
经过验证的联系人搜索 |
安全的 RTP/SRTP |
UDP |
Unified CM |
电话 |
16384 至 32767 * |
16384 至 32767 * |
媒体(音频)- 保持音乐、报警器、会议桥接器软件(基于呼叫信令打开) |
安全的 RTP/SRTP |
UDP |
电话 |
Unified CM |
16384 至 32767 * |
16384 至 32767 * |
媒体(音频)- 保持音乐、报警器、会议桥接器软件(基于呼叫信令打开) |
ICMP |
ICMP |
端点 |
UC 应用程序 |
不适用 |
不适用 |
Ping |
ICMP |
ICMP |
UC 应用程序 |
端点 |
不适用 |
不适用 |
Ping |
* 某些特殊情况可能使用更大的范围。 |
专用实例 - OTT 端口
以下端口列表供移动和远程访问 (MRA) 设置的客户和合作伙伴使用:
协议 |
TCP/UCP |
来源 |
目标位置 |
源端口 |
目标端口 |
目的 |
---|---|---|---|---|---|---|
安全的 SIP |
TCP |
端点 |
Expressway E |
大于 1023 |
5061 |
用于 MRA 注册和呼叫的安全 SIP 信令 |
安全的 SIP |
TCP |
终端/服务器 |
Expressway E |
大于 1023 |
5062 |
B2B 呼叫的安全 SIP |
安全的 RTP/RTCP |
UDP |
终端/服务器 |
Expressway E |
大于 1023 |
36000-59999 |
用于 MRA 和 B2B 呼叫的安全媒体 |
HTTPS(安全) |
TLS |
客户端 |
Expressway E |
大于 1023 |
8443 |
用于 MRA 呼叫的 CUCM UDS 和 CUCxn REST |
XMLS |
TLS |
客户端 |
Expressway E |
大于 1023 |
5222 |
即时通讯和在线状态 |
TURN |
UDP |
ICE 客户端 |
Expressway E |
大于 1023 |
3478 |
ICE/STUN/TURN 协商 |
安全的 RTP/RTCP |
UPD |
ICE 客户端 |
Expressway E |
大于 1023 |
24000-29999 |
用于 ICE 回退的 TURN 媒体 |
专用实例 - UCCX 端口
以下端口列表供客户和合作伙伴用于配置 UCCX。
协议 |
TCP / UCP |
来源 |
目标位置 |
源端口 |
目标端口 |
目的 |
---|---|---|---|---|---|---|
SSH |
TCP |
客户端 |
UCCX |
大于 1023 |
22 |
SFTP 和 SSH |
Informix |
TCP |
客户端或服务器 |
UCCX |
大于 1023 |
1504 |
Unified CCX 数据库端口 |
SIP |
UDP 和 TCP |
SIP GW 或 MCRP 服务器 |
UCCX |
大于 1023 |
5065 |
与远程 GW 和 MCRP 节点通信 |
XMPP |
TCP |
客户端 |
UCCX |
大于 1023 |
5223 |
Finesse 服务器和自定义第三方应用程序之间的安全 XMPP 连接 |
CVD |
TCP |
客户端 |
UCCX |
大于 1023 |
6999 |
CCX 应用程序的编辑器 |
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
7443 |
Finesse 服务器与代理和监控桌面之间的安全 BOSH 连接,用于通过 HTTPS 的通信 |
HTTP |
TCP |
客户端 |
UCCX |
大于 1023 |
8080 |
实时数据报告客户端连接到 socket.IO 服务器 |
HTTP |
TCP |
客户端 |
UCCX |
大于 1023 |
8081 |
客户端浏览器尝试访问 Cisco Unified Intelligence Center Web 界面 |
HTTP |
TCP |
客户端 |
UCCX |
大于 1023 |
8443 |
Admin GUI、RTMT、通过 SOAP 访问 DB |
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
8444 |
Cisco Unified Intelligence Center Web 界面 |
HTTPS |
TCP |
浏览器和 REST 客户端 |
UCCX |
大于 1023 |
8445 |
Finesse 的安全端口 |
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
8447 |
HTTPS - Unified Intelligence Center 在线帮助 |
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
8553 |
单点登录 (SSO) 组件访问此界面了解 Cisco IdS 的操作状态。 |
HTTP |
TCP |
客户端 |
UCCX |
大于 1023 |
9080 |
尝试访问 HTTP 触发器或文档/提示/语法/实时数据的客户端。 |
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
9443 |
用于响应尝试访问 HTTPS 触发器的客户端的安全端口 |
TCP |
TCP |
客户端 |
UCCX |
大于 1023 |
12014 |
这是实时数据报告客户端可以连接到 socket.IO 服务器的端口 |
TCP |
TCP |
客户端 |
UCCX |
大于 1023 |
12015 |
这是实时数据报告客户端可以连接到 socket.IO 服务器的端口 |
CTI |
TCP |
客户端 |
UCCX |
大于 1023 |
12028 |
CCX 的第三方 CTI 客户端 |
RTP(媒体) |
TCP |
端点 |
UCCX |
大于 1023 |
大于 1023 |
根据需要动态打开媒体端口 |
RTP(媒体) |
TCP |
客户端 |
端点 |
大于 1023 |
大于 1023 |
根据需要动态打开媒体端口 |
客户端安全
使用 SIP OAuth 保护 Jabber 和 Webex
Jabber 和 Webex 客户端通过 OAuth 令牌而非本地重要证书 (LSC) 进行身份验证,该证书不要求启用认证中心代理功能 (CAPF)(也需启用 MRA)。 Cisco Unified CM 12.5(1)、Jabber 12.5 和 Expressway X12.5 中引入使用或不使用混合模式的 SIP OAuth。
在 Cisco Unified CM 12.5 中,我们在电话安全档案中新增了一个选项,可在无 LSC/CAPF 的情况下在 SIP REGISTER 中使用单一传输层安全性 (TLS) + OAuth 令牌进行加密。 Expressway-C 节点使用 Administrative XML Web Service (AXL) API,通知 Unified CM 其证书中的 SN/SAN。 Cisco Unified CM 在建立相互 TLS 连接时,会使用此信息验证 Exp-C 证书。
SIP OAuth 在没有终端证书 (LSC) 的情况下启用媒体和信令加密。
Cisco Jabber 通过与 TFTP 服务器的 HTTPS 连接使用 Ephemeral 端口和安全端口 6971 和 6972 来下载配置文件。 端口 6970 是通过 HTTP 下载的非安全端口。
有关 SIP OAuth 配置的更多详细信息: SIP OAuth 模式。
DNS 要求
对于专用实例,Cisco 为每个区域的服务提供以下格式 <customer>.<region>.wxc-di.webex.com 的 FQDN,例如 xyz.amer.wxc-di.webex.com。
“客户”值由管理员作为首次设置向导 (FTSW) 的一部分提供。 有关更多信息,请参阅专用实例服务激活。
此 FQDN 的 DNS 记录需要从客户的内部 DNS 服务器进行解析,以支持连接到专用实例的本地部署设备。 为便于解决,客户需要在指向专用实例 DNS 服务的 DNS 服务器上为此 FQDN 配置条件转发器。 专用实例 DNS 服务是一个区域,可以通过与专用实例对等连接,使用下表中提及的下列 IP 地址来访问专用实例 DNS 服务 IP 地址。
区域/DC |
专用实例 DNS 服务 IP 地址 | 条件转发示例 |
---|---|---|
美洲地区 |
<customer>.amer.wxc-di.webex.com | |
圣何塞 |
69.168.17.100 |
|
达拉斯沃斯堡 |
69.168.17.228 |
|
欧洲、中东及非洲 |
<customer>.emea.wxc-di.webex.com |
|
伦敦 |
178.215.138.100 |
|
阿姆斯特丹 |
178.215.138.228 |
|
亚太地区 |
<customer>.apjc.wxc-di.webex.com |
|
东京 |
103.232.71.100 |
|
新加坡 |
103.232.71.228 |
|
澳大利亚 |
<customer>.aus.wxc-di.webex.com | |
墨尔本 |
178.215.128.100 |
|
悉尼 |
178.215.128.228 |
出于安全原因,上述 DNS 服务器 IP 地址被禁用 ping 选项。 |
在条件转发就绪前,设备将无法通过对等链接从客户内部网络注册到专用实例。 通过移动和远程访问 (MRA) 注册时,不需要条件转发,因为为 MRA 进行的所有必需的外部 DNS 记录都由 Cisco 预配置。
在专用实例中将 Webex 应用程序用作呼叫软客户端时,需要在 Control Hub 中为各区域的语音服务域 (VSD) 配置 UC Manager 档案。 有关更多信息,请参阅 Cisco Webex Control Hub 中的 UC Manager 配置文件。 Webex 应用程序将能够自动解决客户的 Expressway Edge 问题,无需任何最终用户的干预。
服务激活完成后,语音服务域将作为合作伙伴访问文档的一部分向客户提供。 |
参考
Cisco Collaboration 12.x 解决方案参考网络设计 (SRND),安全主题: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Cisco Unified Communications Manager 的安全指南: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html