- 主页
- /
- 文章
在此文章中专用实例解决方案的网络和安全要求是针对提供安全物理访问、网络、终端和Cisco UC应用程序的特性和功能的分层方法。它描述了网络要求,并列出了用于将终端连接到服务的地址、端口和协议。
专用实例的网络要求
Webex 专用实例是Cisco云呼叫产品组合的一部分,由Cisco Unified Communications Manager (Cisco Unified CM)协作技术提供支持。 专用实例提供语音、视频、消息传递和移动解决方案,具有安全连接到专用实例的Cisco IP电话、移动设备和桌面客户端的功能和优势。
本文适用于网络管理员,尤其是希望在其组织中使用专用实例的防火墙和代理安全管理员。
安全概述: 层层安全
专用实例使用分层方法实现安全性。 这些层包括:
-
物理访问
-
网络
-
端点
-
UC应用
以下部分描述了专用实例部署中的安全层。
物理安全性
为Equinix -Me会议室位置和Cisco专用实例数据中心设施提供物理安全性非常重要。 当物理安全受到威胁时,可以发起简单的攻击,例如关闭客户交换机的电源导致服务中断。 通过物理访问,攻击者可以访问服务器设备、重置密码并获得交换机的访问权限。 物理访问还有助于更复杂的攻击,例如中间人攻击,这就是为什么第二个安全层,即网络安全至关重要的原因。
自加密驱动器用于托管UC应用程序的专用实例数据中心。
有关常规安全实践的更多信息,请参阅以下位置的文档: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html。
网络安全
合作伙伴需要确保在专用实例基础结构(通过Equinix连接)中保护所有网络元素。 合作伙伴有责任确保安全最佳实践,例如:
-
用于语音和数据的单独VLAN
-
启用端口安全性,限制每个端口允许的MAC地址数量,防止CAM表泛波
-
IP源保护,防止被欺骗的IP地址
-
动态ARP Inspection (DAI)检查地址解析协议(ARP)和无偿ARP(GARP)的违规行为(针对ARP欺骗)
-
802.1x 限制网络访问,以在分配的 VLAN 上验证设备(电话支持 802.1x)
-
配置服务质量(QoS)以适当标记语音数据包
-
用于阻止任何其他流量的防火墙端口配置
终端安全性
Cisco终端支持默认安全功能,例如签名固件、安全启动(所选型号)、制造商安装的证书(MIC)和签名配置文件,这些功能为终端提供一定级别的安全性。
此外,合作伙伴或客户可以启用额外的安全性,例如:
-
加密Extension Mobility等服务的IP电话服务(通过HTTPS)
-
从证书颁发机构代理功能(CAPF)或公共证书颁发机构(CA)颁发本地有效证书(LSC)
-
加密配置文件
-
加密媒体和信令
-
如果未使用这些设置,则禁用这些设置: PC端口,PC语音VLAN访问,免费ARP,Web访问,设置按钮,SSH,控制台
在专用实例中实施安全机制可防止电话和Unified CM服务器的身份盗窃、数据篡改以及呼叫信令/媒体流篡改。
网络上的专用实例:
-
建立和维护经验证的通信流
-
在将文件传输到电话之前对文件进行数字签名
-
加密Cisco Unified IP电话之间的媒体流和呼叫信令
安全性默认为Cisco Unified IP电话提供以下自动安全功能:
-
电话配置文件签名
-
支持电话配置文件加密
-
使用Tomcat和其他Web服务(MIDlet)的HTTPS
对于Unified CM 8.0版之后的版本,默认情况下提供这些安全功能,不运行证书信任列表(CTL)客户端。
信任验证服务由于网络中有大量电话且IP电话内存有限,Cisco Unified CM通过信任验证服务(TVS)充当远程信任存储,因此无需在每部电话上放置证书信任存储。 Cisco IP电话联系TVS服务器进行验证,因为它们无法通过CTL或ITL文件验证签名或证书。 拥有中央信任存储区比在每部Cisco Unified IP电话上拥有信任存储区更易于管理。
TVS使Cisco Unified IP电话能够在HTTPS建立期间验证应用程序服务器,例如EM服务、目录和MIDlet。
初始信任列表初始信任列表(ITL)文件用于初始安全性,以便终端可以信任Cisco Unified CM。 ITL不需要明确启用任何安全功能。 安装集群时会自动创建ITL文件。 Unified CM普通文件传输协议(TFTP)服务器的私钥用于对ITL文件签名。
当Cisco Unified CM群集或服务器处于非安全模式时,ITL文件会下载到每部受支持的Cisco IP电话上。 合作伙伴可以使用CLI命令admin:show itl查看ITL文件的内容。
Cisco IP电话需要ITL文件来执行以下任务:
-
安全地与CAPF通信,这是支持配置文件加密的前提条件
-
验证配置文件签名
-
在使用TVS建立HTTPS期间验证应用服务器,例如EM服务、目录和MIDlet
设备、文件和信令验证依赖于证书信任列表(CTL)文件的创建,该文件在合作伙伴或客户安装和配置Cisco证书信任列表客户端时创建。
CTL文件包含以下服务器或安全令牌的条目:
-
系统管理员安全令牌(SAST)
-
在同一服务器上运行的Cisco CallManager和Cisco TFTP服务
-
证书权限代理功能(CAPF)
-
TFTP服务器
-
ASA防火墙
CTL文件包含每个服务器的服务器证书、公钥、序列号、签名、颁发者名称、使用者名称、服务器功能、DNS名称和IP地址。
使用CTL的电话安全性提供以下功能:
-
使用签名密钥验证TFTP下载的文件(配置、区域设置、振铃列表等)
-
使用签名密钥加密TFTP配置文件
-
IP电话的加密呼叫信令
-
IP电话的加密呼叫音频(媒体)
专用实例提供终端注册和呼叫处理。 Cisco Unified CM和终端之间的信令基于安全瘦客户端控制协议(SCCP)或会话发起协议(SIP),可以使用传输层安全性(TLS)进行加密。 从/到终端的媒体基于实时传输协议(RTP),也可以使用安全RTP (SRTP)进行加密。
在Unified CM上启用混合模式可加密来自和发往Cisco终端的信令和媒体流量。
安全的UC应用程序
在专用实例中启用混合模式在专用实例中默认启用混合模式。
在专用实例中启用混合模式可启用信令和媒体流量在Cisco端点之间执行加密。
在Cisco Unified CM 12.5(1)发行版中,为JabBER和WeBEX客户端新增了基于SIP OAuth而非混合模式/CTL的信令和媒体加密选项。 因此,在Unified CM版本12.5(1)中,SIP OAuth和SRTP可用于为Jabber或Webex客户端启用信令和媒体加密。 Cisco IP电话和其他Cisco终端目前仍然需要启用混合模式。 计划在未来的发行版中添加对7800/8800终端中SIP OAuth的支持。
语音留言安全性Cisco Unity Connection通过TLS端口连接到Unified CM。 当设备安全模式不安全时,Cisco Unity Connection会通过SCCP端口连接到Unified CM。
要为运行SCCP的Unified CM语音留言端口和Cisco 设备或运行SCCP的Cisco Unity Connection设备配置安全性,合作伙伴可以为端口选择安全的设备安全模式。 如果您选择已验证的语音邮件端口,将打开TLS连接,该连接使用相互证书交换(每个设备接受另一个设备的证书)来验证设备。 如果选择加密的语音邮件端口,系统会首先验证设备,然后在设备之间发送加密的语音流。
有关安全语音留言端口的更多信息,请参阅: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12.5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco- 125SU1_chapter_010001.html
SRST、干线、网关、CUBE/SBC的安全性
如果专用实例上的Cisco Unified CM无法完成呼叫,启用Cisco Unified Survivable Remote Site Telephony (SRST)的网关提供有限的呼叫处理任务。
启用SRST的安全网关包含自签名证书。 合作伙伴在Unified CM管理中执行SRST配置任务后,Unified CM使用TLS连接在启用SRST的网关中验证证书提供程序服务。 Unified CM然后从启用SRST的网关检索证书,并将证书添加到Unified CM数据库。
合作伙伴在Unified CM管理中重置相关设备后,TFTP服务器会将启用SRST的网关证书添加到电话cnf.xml文件,并将该文件发送到电话。 然后,安全电话使用TLS连接与启用SRST的网关交互。
建议为从Cisco Unified CM到出站PSTN呼叫网关的呼叫设置安全中继,或穿越Cisco Unified Border Element (CUBE)。
SIP干线可以支持信令和媒体的安全呼叫;TLS提供信令加密,SRTP提供媒体加密。
保护Cisco Unified CM和CUBE之间的通信
对于Cisco Unified CM和CUBE之间的安全通信,合作伙伴/客户需要使用自签名证书或CA签名证书。
对于自签名证书:
-
CUBE和Cisco Unified CM生成自签名证书
-
CUBE将证书导出到Cisco Unified CM
-
Cisco Unified CM将证书导出到CUBE
对于CA签名的证书:
-
客户端生成密钥对并将证书签名请求(CSR)发送到证书颁发机构(CA)
-
CA使用其私钥签名,创建身份证书
-
客户端安装受信任的CA根证书和中介证书列表以及身份证书
远程终端的安全性
通过移动和远程访问(MRA)终端,在MRA终端和Expressway节点之间始终加密信令和媒体。 如果将交互式连接建立(ICE)协议用于MRA终端,则需要MRA终端的信令和媒体加密。 但是,Expressway-C与内部Unified CM服务器、内部终端或其他内部设备之间的信令和媒体加密需要混合模式或SIP OAuth。
Cisco Expressway为Unified CM注册提供安全的防火墙穿越和线路端支持。 Unified CM为移动终端和本地终端提供呼叫控制。 信令穿越远程终端和Unified CM之间的Expressway解决方案。 媒体遍历Expressway解决方案,并在终端之间直接中继。 所有媒体都在Expressway-C和移动终端之间加密。
任何MRA解决方案都需要Expressway和Unified CM,以及与MRA兼容的软客户端和/或固定终端。 该解决方案可以选择包括IM and Presence Service和Unity Connection。
协议摘要
下表显示了Unified CM解决方案中使用的协议和相关服务。
|
协议 |
安全性 |
服务 |
|---|---|---|
|
SIP |
TLS |
会话建立: 注册、邀请等 |
|
HTTPS |
TLS |
登录、设置/配置、目录、可视语音邮件 |
|
媒体 |
SRTP |
媒体: 音频、视频、内容共享 |
|
XMPP |
TLS |
即时消息、在线状态、联合 |
配置选项
专用实例可让合作伙伴灵活地通过完全控制第二天配置来自定义最终用户的服务。 因此,合作伙伴全权负责为最终用户的环境正确配置专用实例服务。 这包括但不限于:
-
选择安全/非安全呼叫、安全/非安全协议(例如SIP/sSIP、http/https等)并了解任何相关风险。
-
对于在专用实例中未配置为安全SIP的所有MAC地址,攻击者可以使用该MAC地址发送SIP注册消息并能够发起SIP呼叫,从而导致收费欺诈。 特权是,如果攻击者知道在专用实例中注册的设备的MAC地址,则可以在未经授权的情况下将其SIP设备/软件注册到专用实例。
-
应配置Expressway-E呼叫策略、转换和搜索规则,以防止收费欺诈。 有关防止使用Expressway进行收费欺诈的更多信息,请参阅协作SRND的Expressway C和Expressway-E的安全部分。
-
拨号方案配置,以确保用户只能拨打允许的目标,例如禁止国内/国际拨号、紧急呼叫路由正确等。有关使用拨号方案应用限制的更多信息,请参阅“协作SRND”的拨号方案部分。
专用实例中安全连接的证书要求
对于专用实例,Cisco将提供域并使用公共证书颁发机构(CA)签署UC应用程序的所有证书。
专用实例–端口号和协议
下表介绍了专用实例中支持的端口和协议。 给定客户使用的端口取决于客户的部署和解决方案。 协议取决于客户的首选项(SCCP与SIP)、现有的本地部署设备以及确定每个部署中要使用哪些端口的安全性级别。
 | 专用实例不允许终端和Unified CM之间的网络地址转换(NAT),因为某些呼叫流功能无法工作,例如呼叫中功能。 |
专用实例-客户端口
表1 专用实例客户端口中显示客户可用的端口-客户本地部署和专用实例之间的端口。 下面列出的所有端口都用于穿越对等链接的客户流量。
| 默认情况下,SNMP端口仅为Cisco Emergency Responder打开以支持其功能。 由于我们不支持合作伙伴或客户监控在专用实例云中部署的UC应用程序,因此我们不允许为任何其他UC应用程序打开SNMP端口。 |
 | 建议Cisco为其他云集成、合作伙伴或客户管理员保留5063至5080范围内的端口,不要在其配置中使用这些端口。 |
|
协议 |
TCP/UDP |
来源 |
目标位置 |
源端口 |
目标端口 |
目的 | ||
|---|---|---|---|---|---|---|---|---|
|
SSH |
TCP |
客户端 |
UC应用
|
大于1023 |
22年 |
管理 |
||
|
TFTP |
UDP |
端点 |
Unified CM |
大于1023 |
69岁 |
旧终端支持 |
||
|
LDAP |
TCP |
UC应用 |
外部目录 |
大于1023 |
389 |
目录同步到客户LDAP |
||
|
HTTPS |
TCP |
浏览器 |
UC应用 |
大于1023 |
443 |
自助和管理界面的Web访问 |
||
|
出站邮件(安全) |
TCP |
UC 应用程序 |
CUCxn |
大于1023 |
587 |
用于编写和发送安全消息给任何指定的收件人 |
||
|
LDAP(安全) |
TCP |
UC应用 |
外部目录 |
大于1023 |
636 |
目录同步到客户LDAP |
||
|
H323 |
TCP |
网关 |
Unified CM |
大于1023 |
1720 |
呼叫信令 |
||
|
H323 |
TCP |
Unified CM |
Unified CM |
大于1023 |
1720 |
呼叫信令 |
||
|
SCCP |
TCP |
端点 |
Unified CM, CUCxn |
大于1023 |
2000年 |
呼叫信令 |
||
|
SCCP |
TCP |
Unified CM |
Unified CM、网关 |
大于1023 |
2000年 |
呼叫信令 |
||
|
MGCP |
UDP |
网关 |
网关 |
大于1023 |
2427 |
呼叫信令 |
||
|
MGCP回程 |
TCP |
网关 |
Unified CM |
大于1023 |
2428 |
呼叫信令 |
||
|
SCCP(安全) |
TCP |
端点 |
Unified CM, CUCxn |
大于1023 |
2443 |
呼叫信令 |
||
|
SCCP(安全) |
TCP |
Unified CM |
Unified CM、网关 |
大于1023 |
2443 |
呼叫信令 |
||
|
信任验证 |
TCP |
端点 |
Unified CM |
大于1023 |
2445 |
向终端提供信任验证服务 |
||
|
CTI |
TCP |
端点 |
Unified CM |
大于1023 |
2748 |
CTI应用程序(JTAPI/TSP)和CTIManager之间的连接 |
||
|
安全CTI |
TCP |
端点 |
Unified CM |
大于1023 |
2749 |
CTI应用程序(JTAPI/TSP)和CTIManager之间的安全连接 |
||
|
LDAP全局目录 |
TCP |
UC 应用程序 |
外部目录 |
大于1023 |
3268 |
目录同步到客户LDAP |
||
|
LDAP全局目录 |
TCP |
UC 应用程序 |
外部目录 |
大于1023 |
3269 |
目录同步到客户LDAP |
||
|
CAPF服务 |
TCP |
端点 |
Unified CM |
大于1023 |
3804 |
证书权限代理功能(CAPF)侦听端口,用于向IP电话颁发本地有效证书(LSC) |
||
|
SIP |
TCP |
端点 |
Unified CM, CUCxn |
大于1023 |
5060 |
呼叫信令 |
||
|
SIP |
TCP |
Unified CM |
Unified CM、网关 |
大于1023 |
5060 |
呼叫信令 |
||
|
SIP(安全) |
TCP |
端点 |
Unified CM |
大于1023 |
5061 |
呼叫信令 |
||
|
SIP(安全) |
TCP |
Unified CM |
Unified CM、网关 |
大于1023 |
5061 |
呼叫信令 |
||
|
SIP (OAUTH) |
TCP |
端点 |
Unified CM |
大于1023 |
5090 |
呼叫信令 |
||
|
XMPP |
TCP |
Jabber客户端 |
Cisco即时消息&P |
大于1023 |
5222 |
即时消息和在线状态 |
||
|
HTTP |
TCP |
端点 |
Unified CM |
大于1023 |
6970 |
将配置和图像下载到终端 |
||
|
HTTPS |
TCP |
端点 |
Unified CM |
大于1023 |
6971 |
将配置和图像下载到终端 |
||
|
HTTPS |
TCP |
端点 |
Unified CM |
大于1023 |
6972 |
将配置和图像下载到终端 |
||
|
HTTP |
TCP |
Jabber客户端 |
CUCxn |
大于1023 |
7080 |
语音邮件通知 |
||
|
HTTPS |
TCP |
Jabber客户端 |
CUCxn |
大于1023 |
7443 |
安全语音邮件通知 |
||
|
HTTPS |
TCP |
Unified CM |
Unified CM |
大于1023 |
7501 |
群集间查询服务(ILS)用于基于证书的验证 |
||
|
HTTPS |
TCP |
Unified CM |
Unified CM |
大于1023 |
7502 |
ILS用于基于密码的验证 |
||
|
IMAP |
TCP |
Jabber客户端 |
CUCxn |
大于1023 |
7993年 |
基于TLS的IMAP |
||
|
HTTP |
TCP |
端点 |
Unified CM |
大于1023 |
8080 |
旧终端支持的目录URI |
||
|
HTTPS |
TCP |
浏览器,终端 |
UC应用 |
大于1023 |
8443 |
自助和管理界面的Web访问,UDS |
||
|
HTTPS |
TCP |
电话 |
Unified CM |
大于1023 |
9443 |
已验证联系人搜索 |
||
|
HTTP |
TCP |
端点 |
Unified CM |
大于1023 |
9444 |
耳机管理功能 |
||
|
安全RTP/SRTP |
UDP |
Unified CM |
电话 |
16384至32767* |
16384至32767* |
媒体(音频)-音乐保持、报警器、软件会议桥(基于呼叫信令打开) |
||
|
安全RTP/SRTP |
UDP |
电话 |
Unified CM |
16384至32767* |
16384至32767* |
媒体(音频)-音乐保持、报警器、软件会议桥(基于呼叫信令打开) |
||
|
眼罩 |
TCP |
客户端 |
CUCxn |
大于1023 |
20532 |
备份和恢复应用程序套件 |
||
|
ICMP |
ICMP |
端点 |
UC应用 |
不适用 |
不适用 |
Ping |
||
|
ICMP |
ICMP |
UC应用 |
端点 |
不适用 |
不适用 |
Ping |
||
| DNS | UDP和TCP |
DNS前转器 |
专用实例DNS服务器 |
大于1023 |
53 |
客户本地DNS前转器到专用实例DNS服务器。 有关详细信息,请参阅DNS要求。 |
||
|
*某些特殊情况可能使用更大的范围。 |
||||||||
专用实例- OTT端口
客户和合作伙伴可以使用以下端口进行移动和远程访问(MRA)设置:
|
协议 |
TCP/UCP |
来源 |
目标位置 |
源端口 |
目标端口 |
目的 |
|---|---|---|---|---|---|---|
|
安全RTP/RTCP |
UDP |
Expressway C |
客户端 |
大于1023 |
36000-59999 |
用于MRA和B2B呼叫的安全媒体 |
多租户和专用实例之间的互操作SIP干线(仅适用于基于注册的干线)
对于多租户和专用实例之间基于注册的SIP干线连接,客户防火墙上需要允许以下端口列表。
|
协议 |
TCP/UCP |
来源 |
目标位置 |
源端口 |
目标端口 |
目的 |
|---|---|---|---|---|---|---|
|
RTP/RTCP |
UDP |
Webex 多租户 |
客户端 |
大于1023 |
8000-48198 |
来自Webex 多租户的媒体 |
专用实例– UCCX端口
客户和合作伙伴可以使用以下端口列表配置UCCX。
|
协议 |
TCP/UCP |
来源 |
目标位置 |
源端口 |
目标端口 |
目的 |
|---|---|---|---|---|---|---|
|
SSH |
TCP |
客户端 |
UCCX |
大于1023 |
22年 |
SFTP和SSH |
|
Informix |
TCP |
客户端或服务器 |
UCCX |
大于1023 |
1504年 |
Contact Center Express数据库端口 |
|
SIP |
UDP和TCP |
SIP GW或MCRP服务器 |
UCCX |
大于1023 |
5065 |
与远程GW和MCRP节点的通信 |
|
XMPP |
TCP |
客户端 |
UCCX |
大于1023 |
5223 |
安全Finesse服务器和自定义第三方应用程序之间的XMPP连接 |
|
CVD |
TCP |
客户端 |
UCCX |
大于1023 |
6999年 |
编辑器到CCX应用程序 |
|
HTTPS |
TCP |
客户端 |
UCCX |
大于1023 |
7443 |
Finesse服务器与座席和主管桌面之间的安全BOSH连接,以便通过HTTPS进行通信 |
|
HTTP |
TCP |
客户端 |
UCCX |
大于1023 |
8080 |
实时数据报告客户端连接到socket.IO服务器 |
|
HTTP |
TCP |
客户端 |
UCCX |
大于1023 |
8081 |
尝试访问Cisco Unified Intelligence Center Web界面的客户端浏览器 |
|
HTTP |
TCP |
客户端 |
UCCX |
大于1023 |
8443 |
管理GUI、RTMT、通过SOAP的数据库访问 |
|
HTTPS |
TCP |
客户端 |
UCCX |
大于1023 |
8444 |
Cisco Unified Intelligence Center Web界面 |
|
HTTPS |
TCP |
浏览器和REST客户端 |
UCCX |
大于1023 |
8445 |
Finesse的安全端口 |
|
HTTPS |
TCP |
客户端 |
UCCX |
大于1023 |
8447 |
HTTPS - Unified Intelligence Center在线帮助 |
|
HTTPS |
TCP |
客户端 |
UCCX |
大于1023 |
8553 |
单点登录(SSO)组件可访问此接口以了解Cisco IdS的运行状态。 |
|
HTTP |
TCP |
客户端 |
UCCX |
大于1023 |
9080 |
尝试访问HTTP触发或文档/提示/语法/实时数据的客户端。 |
|
HTTPS |
TCP |
客户端 |
UCCX |
大于1023 |
9443 |
用于响应尝试访问HTTPS触发器的客户端的安全端口 |
|
TCP |
TCP |
客户端 |
UCCX |
大于1023 |
12014年 |
这是实时数据报告客户端可以连接到socket.IO服务器的端口 |
|
TCP |
TCP |
客户端 |
UCCX |
大于1023 |
12015年 |
这是实时数据报告客户端可以连接到socket.IO服务器的端口 |
|
CTI |
TCP |
客户端 |
UCCX |
大于1023 |
12028年 |
到CCX的第三方CTI客户端 |
|
RTP(媒体) |
TCP |
端点 |
UCCX |
大于1023 |
大于1023 |
根据需要动态打开媒体端口 |
|
RTP(媒体) |
TCP |
客户端 |
端点 |
大于1023 |
大于1023 |
根据需要动态打开媒体端口 |
客户端安全
使用SIP OAuth保护Jabber和Webex
Jabber和Webex客户端通过OAuth令牌而不是本地有效证书(LSC)进行验证,这不需要证书权限代理功能(CAPF)启用(对于MRA)。 Cisco Unified CM 12.5(1)、Jabber 12.5和Expressway X12.5中引入了使用或不使用混合模式的SIP OAuth工作。
在Cisco Unified CM 12.5中,我们在电话安全性配置文件中有一个新选项,可在不使用LSC/CAPF的情况下启用加密,在SIP注册表中使用单传输层安全性(TLS) + OAuth令牌。 Expressway-C节点使用管理XML Web服务(AXL) API将其证书中的SN/SAN通知Cisco Unified CM。 建立MTLS连接时,Cisco Unified CM使用此信息验证Exp-C证书。
SIP OAuth在没有终端证书(LSC)的情况下启用媒体和信令加密。
Cisco Jabber通过HTTPS连接到TFTP服务器使用临时端口和安全端口6971和6972下载配置文件。 端口6970是通过HTTP下载的非安全端口。
有关SIP OAuth配置的更多详细信息: SIP OAuth模式。
DNS要求
对于专用实例,Cisco使用以下格式为每个区域的服务提供FQDN:<customer>。<region>。wxc-di.webex.com(例如, xyz.amer.wxc-di.webex.com)。
“客户”值由管理员作为首次设置向导(FTSW)的一部分提供。 有关更多信息,请参阅专用实例服务激活。
此FQDN的DNS记录需要可从客户的内部DNS服务器解析,以支持连接到专用实例的本地部署设备。 为了便于解析,客户需要在指向专用实例DNS服务的DNS服务器上为此FQDN配置一个条件前转器。 专用实例DNS服务是区域服务,可以通过对等连接到专用实例,使用下表 专用实例DNS服务IP地址中提到的以下IP地址。
|
区域/dc | 专用实例DNS服务IP地址 |
条件前转示例 |
|---|---|---|
|
美洲地区 |
<customer>。amer.wxc-di.webex.com | |
|
SJC |
69.168.17.100 |
|
|
DFW |
69.168.17.228 |
|
|
欧洲、中东及非洲 |
<customer>。emea.wxc-di.webex.com |
|
|
LN |
178.215.138.100 |
|
|
AMS |
178.215.138.228 |
|
|
EU |
<customer>。eu.wxc-di.webex.com |
|
|
fra |
178.215.131.100 |
|
|
AMS |
178.215.131.228 |
|
|
亚太地区 |
<customer>。apjc.wxc-di.webex.com |
|
|
sin |
103.232.71.100 |
|
|
TKY |
103.232.71.228 |
|
|
澳大利亚 |
<customer>。aus.wxc-di.webex.com | |
|
梅尔 |
178.215.128.100 |
|
|
SYD |
178.215.128.228 |
|
| 出于安全原因,上述DNS服务器IP地址的ping选项被禁用。 |
在条件转发就位之前,设备将无法通过对等链接从客户内部网络注册到专用实例。 通过Mobile and Remote Access (MRA)注册不需要有条件前转,因为所有促进MRA所需的外部DNS记录都将由Cisco预先设置。
在专用实例上将Webex应用程序用作呼叫软客户端时,需要在Control Hub中为每个区域的语音服务域(VSD)配置UC Manager配置文件。 有关更多信息,请参阅Cisco Webex Control Hub中的 <UNK> Manager档案。 Webex应用程序将能够自动解析客户的Expressway Edge,无需任何最终用户干预。
| 服务激活完成后,语音服务域将作为合作伙伴访问文档的一部分提供给客户。 |
使用本地路由器实现电话DNS分辨率
对于无法访问公司DNS服务器的电话,可以使用本地Cisco路由器将DNS请求转发到专用实例云DNS。 这样就无需部署本地DNS服务器,并提供包括缓存在内的完整DNS支持。
配置示例 :
!
ip dns服务器
ip name-服务器<DI DNS服务器IP DC1> <DI DNS服务器IP DC2>
!
| 此部署模型中的DNS使用特定于电话,只能用于从客户专用实例通过域解析FQDN。 |
参考
-
Cisco Collaboration 12.x解决方案参考网络设计(SRND),安全主题: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Cisco Unified Communications Manager安全指南: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12.5_1SU2/cucm_b_security-guide-1251SU2.html
