- 主页
- /
- 文章
专用实例网络和安全要求
在此文章中专用实例解决方案的网络和安全要求是针对提供安全物理访问、网络、终端和Cisco UC应用程序的特性和功能的分层方法。它描述了网络要求,并列出了用于将端点连接到服务的地址、端口和协议。
专用实例的网络要求
Webex Calling 专用实例是 Cisco Cloud Calling 产品组合的一部分,该组合由 Cisco Unified Communications Manager (Cisco Unified CM) 协作技术提供支持。专用实例提供语音、视频、消息传递和移动解决方案,其功能和优点与 Cisco IP 电话、移动设备和桌面客户端安全地连接到专用实例。
本文面向网络管理员,尤其是希望在其组织中使用专用实例的防火墙和代理安全管理员。
安全概述:层层安全
专用实例 使用分层安全方法。这些层包括:
-
物理访问
-
网络
-
终端
-
UC 应用程序
以下各节描述了专用实例部署 中 的安全性层。
物理安全性
向 Equinix Meet-Me 协作室位置和 Cisco 专用实例 数据中心设备提供物理安全性非常重要。当物理安全受到影响时,可能会发起简单攻击,例如关闭客户的交换机电源,以造成服务中断。通过物理访问,攻击者可以访问服务器设备、重置密码并访问交换机。物理访问还有助于进行更先进的攻击,例如中间人攻击,这也是第二层安全性层(网络安全)至关重要的原因。
自助加密驱动器用于托管 UC 应用程序的专用实例数据中心。
有关一般安全实践的更多信息,请参阅以下位置的文档:https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html。
网络安全
合作伙伴需要确保所有网络 元素在专用实例基础结构(通过 Equinix 进行连接)中安全保护。合作伙伴负责确保安全性最佳实践,例如:
-
分开语音和数据 VLAN
-
启用端口安全,该端口限制每个端口允许的 MAC 地址数量,与摄像头表格设置
-
防止欺骗 IP 地址的 IP 源防止
-
动态 ARP 检查 (DAI) 检查地址分辨率协议 (ARP) 和标准 ARP (GARP) 以违反 (针对 ARP 电子欺骗)
-
802.1x 限制网络访问,以在分配的 VLANS 上验证设备(电话支持 802。1x)
-
针对语音数据包的合适标记配置服务质量 (QoS)
-
用于阻止任何其他流量的防火墙端口配置
终端安全性
Cisco 终端支持缺省安全功能,例如签名固件、安全启动(所选型号)、制造商安装的证书 (MIC) 和签名配置文件,这些为终端提供一定的安全性。
此外,合作伙伴或客户还可以启用其他安全性,例如:
-
为 Extension Mobility 等服务加密 IP 电话服务(通过 HTTPS)
-
颁发来自证书颁发机构代理功能 (CAPF) 或公共认证中心 (CA) 的本地重要证书 (LSCs)
-
加密配置文件
-
加密媒体和信令
-
如果它们未使用,请禁用这些设置:PC 端口,PC 语音 VLAN 访问,免费 ARP,Web 访问,设置按钮,SSH,控制台
在专用实例中 实施安全机制可防止电话和 Unified CM 服务器的身份被篡改、数据被篡改以及呼叫信令/媒体流篡改。
网络上专用实例:
-
建立和维护经验证的通信流
-
在将文件传输到电话之前对文件进行数字签名
-
加密不同 IP 电话之间的媒体流Cisco Unified信令
缺省情况下,安全性功能为网络 IP 电话Cisco Unified安全功能:
-
签署电话配置文件
-
支持电话配置文件加密
-
使用 Tomcat 和其他 Web 服务 (MIDlet) 的 HTTPS
对于 Unified CM 发行版 8.0,这些安全功能在缺省情况下不运行证书信任列表 (CTL) 客户端提供。
信任验证服务由于网络中存在大量电话,且 IP 电话的内存有限,Cisco Unified CM 通过信任验证服务 (TVS) 充当远程信任库,因此无需在每个电话上放置证书信任库。Cisco IP 电话联系 TVS 服务器进行验证,因为他们无法通过 CTL 或 ITL 文件验证签名或证书。与在每个 ip 电话上存储信任库比在每个 IP 电话上拥有信任库Cisco Unified方便。
通过电视Cisco Unified IP 电话在 HTTPS 安装期间验证应用程序服务器(例如 EM 服务、目录和 MIDlet)。
初始信任列表初始信任列表 (ITL) 文件用于初始安全性,以便终端可以信任 Cisco Unified CM。ITL 不需要明确启用任何安全功能。ITL 文件在安装集群时自动创建。Unified CM 普通文件传输协议 (TFTP) 服务器的私钥用于签署 ITL 文件。
当Cisco Unified CM 集群或服务器进入非安全模式时,ITL 文件将下载到每个受支持的 Cisco IP 电话上。合作伙伴可以使用 CLI 命令查看 ITL 文件的内容,管理:show itl。
Cisco IP 电话需要 ITL 文件才能执行以下任务:
-
与 CAPF 安全地通信,这是支持配置文件加密的前提条件
-
验证配置文件签名
-
在使用 TVS 的 HTTPS 安装期间验证应用程序服务器(例如 EM 服务、目录和 MIDlet)
设备、文件和信令验证需要创建证书信任列表 (CTL) 文件,该文件是在合作伙伴或客户安装并配置 Cisco 证书信任列表客户端时创建的。
CTL 文件包含下列服务器或安全令牌的条目:
-
系统管理员安全令牌 (SAST)
-
在同一服务器上运行的 Cisco CallManager 和 Cisco TFTP 服务
-
认证中心代理功能 (CAPF)
-
TFTP 服务器
-
ASA 防火墙
CTL 文件包含服务器证书、公钥、序列号、签名、颁发者名称、主体名称、服务器功能、DNS 名称和每个服务器的 IP 地址。
使用 CTL 的电话安全性提供以下功能:
-
使用签名密钥验证 TFTP 下载的文件(配置、区域设置、响铃列表等)
-
使用签名密钥对 TFTP 配置文件进行加密
-
IP 电话的加密呼叫信令
-
IP 电话的加密呼叫音频(媒体)
专用实例 提供终端注册和呼叫处理。Cisco Unified CM 和终端之间的信令基于 Secure Skinny Client Control Protocol (SCCP) 或 会话发起协议 (SIP),可以使用传输层安全性 (TLS) 进行加密。传输至终端的媒体基于实时传输协议 (RTP),还可使用安全 RTP (SRTP) 进行加密。
在 Unified CM 上启用混合模式后,可以加密与 Cisco 终端之间的信令和媒体流量。
安全的UC应用程序
在专用实例中启用混合模式在专用实例中默认启用混合模式。
在专用实例中启用 混合 模式后,可以对 Cisco 终端之间的信令和媒体流量执行加密。
在 Cisco Unified CM 发行版 12.5(1)中,添加了针对 Jabber 和 Webex 客户端启用基于 SIP OAuth 而非混合模式 /CTL 进行信令和媒体加密的新选项。因此,在 Unified CM 发行版 12.5(1)中,SIP OAuth 和 SRTP 可用于为 Jabber 或 Webex 客户端启用信令和媒体加密。目前,Cisco IP 电话和其他 Cisco 终端需要启用混合模式。我们计划在未来发行版中为 7800/8800 终端添加对 SIP OAuth 的支持。
语音留言安全性Cisco Unity Connection通过 TLS 端口连接到 Unified CM。如果设备安全模式不安全,Cisco Unity Connection通过 SCCP 端口连接到 Unified CM。
要配置运行 SCCP 或 Cisco Unity Connection 设备的 Unified CM 语音消息端口和 Cisco Unity 设备的安全性,合作伙伴可以选择该端口的安全设备安全模式。如果您选择经验证的语音邮件端口,TLS 连接将打开,该连接使用相互证书交换来验证设备(每个设备接受另一设备的证书)。如果您选择加密的语音邮件端口,系统会先验证设备,然后在设备之间发送加密的语音流。
有关安全语音消息端口的信息,请参阅: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST、中继、网关、CUBE/SBC 的安全性
如果Cisco Unified上的 Cisco Unified CM 无法完成呼叫,启用代理远程站点电话 (SRST) 的网关提供有限的呼叫处理任务。
启用 SRST 的安全网关包含自签名证书。合作伙伴在 Unified CM 管理中执行 SRST 配置任务后,Unified CM 使用 TLS 连接向启用了 SRST 的网关中的证书提供程序服务进行验证。Unified CM 随后从启用 SRST 的网关检索证书,并将证书添加到 Unified CM 数据库。
合作伙伴在 Unified CM 管理中重设依赖设备后,TFTP 服务器会将启用 SRST 的网关证书添加到 phone cnf.xml 文件中,并将文件发送到电话。然后,安全电话使用 TLS 连接与启用 SRST 的网关交互。
对于从 Cisco Unified CM 发起或穿越 Cisco Unified Border Element (CUBE) 的出站 PSTN 呼叫,建议使用安全中继。
SIP 中继支持用于信令和媒体的安全呼叫;TLS 提供信令加密,SRTP 提供媒体加密。
保护Cisco Unified CM和CUBE之间的通信
对于 CISCO UNIFIED CM 和 CUBE 之间的安全通信,合作伙伴/客户需要使用自签名证书或 CA 签名证书。
对于自签名证书:
-
CUBE 和 Cisco Unified CM 生成自签名证书
-
CUBE 将证书导出到 Cisco Unified CM
-
Cisco Unified CM 向 CUBE 导出证书
对于 CA 签名证书:
-
客户端生成密钥对并将证书签名请求 (CSR) 发送给证书颁发机构 (CA)
-
CA 使用其私钥来签署证书,从而创建身份证书
-
客户端会安装受信任的 CA 根证书和一览表以及身份证书
远程终端的安全性
使用移动Remote Access (MRA) 终端时,信令和媒体始终在 MRA 终端和不同节点Expressway加密。如果对 MRA 终端使用交互连接修正 (ICE) 协议,则要求对 MRA 终端进行信令和媒体加密。但是,对 Expressway-C 和内部 Unified CM 服务器、内部终端或其他内部设备之间的信令和媒体加密要求使用混合模式或 SIP OAuth。
Cisco Expressway为 Unified CM 注册提供安全防火墙穿越和线路端支持。Unified CM 为移动设备和本地终端提供呼叫控制。信号在远程终端Expressway Unified CM 之间穿越安全解决方案。媒体将穿越 Expressway解决方案,并直接在终端之间传递。所有媒体在 Expressway-C 和移动终端之间加密。
任何 MRA 解决方案Expressway具有 MRA 兼容的软客户端和/或固定终端的云和 Unified CM。该解决方案可以选择包含即时消息和在线状态服务和 Unity Connection。
协议摘要
下表显示 Unified CM 解决方案中使用的协议和相关服务。
|
协议 |
安全性 |
服务 |
|---|---|---|
|
SIP |
TLS |
会话时间:注册、邀请等 |
|
HTTPS |
TLS |
登录,设置/配置,目录,可视语音邮件 |
|
媒体 |
SRTP |
媒体:音频、视频、内容共享 |
|
Xmpp |
TLS |
即时消息、在线状态、联合 |
配置选项
专用 实例 使合作伙伴能够灵活地通过完全控制第二天的两种配置来为最终用户定制服务。因此,合作伙伴自行负责 为最终用户的环境正确配置专用实例服务。包括但不仅限于:
-
选择安全/不安全的呼叫、安全/不安全的协议(例如 SIP/sSIP、http/https 等)并理解任何相关风险。
-
对于在专用实例中未配置为安全 SIP 的所有 MAC 地址,攻击者可以使用该 MAC 地址发送 SIP 注册消息并能够进行 SIP 呼叫,从而造成收费欺诈。如果攻击者知道在专用实例中注册设备的 MAC 地址,无需授权即可将 SIP 设备/ 软件注册 到专用实例。
-
Expressway-E 呼叫策略,应配置转换和搜索规则以防止收费欺诈。有关防止使用 Expressway 进行收费欺诈的信息,请参阅协作 SRND Expressway C Expressway-E 部分的安全性。
-
拨号方案配置,以确保用户只能拨打允许的目标,例如禁止国内/国际拨号、紧急呼叫路由正确等。有关使用拨号方案应用限制的更多信息,请参阅“协作SRND”的拨号方案 部分。
专用实例中安全连接的证书要求
对于专用实例,Cisco 将提供域,并签署所有使用公共证书颁发机构 (CA) 的 UC 应用程序的证书。
专用实例–端口号和协议
下表描述了专用实例中支持的端口和协议。用于给定客户的端口取决于客户的部署和解决方案。协议取决于客户的首选项(SCCP与SIP)、现有的本地部署设备以及确定每个部署中要使用哪些端口的安全性级别。
专用实例不允许终端和Unified CM之间的网络地址转换(NAT),因为某些呼叫流功能无法工作,例如呼叫中功能。
专用实例 - 客户端口
表 1 专用实例客户端口中显示的是客户本地部署和专用实例之间的可用端口。下面列出的所有端口都用于穿越对等链接的客户流量。
默认情况下,SNMP端口仅为Cisco Emergency Responder打开以支持其功能。由于我们不支持合作伙伴或客户监控在专用实例云中部署的UC应用程序,因此我们不允许为任何其他UC应用程序打开SNMP端口。
建议Cisco为其他云集成、合作伙伴或客户管理员保留5063至5080范围内的端口,不要在其配置中使用这些端口。
|
协议 |
TCP/UDP |
Target |
目标位置 |
源端口 |
目标端口 |
目的 |
|---|---|---|---|---|---|---|
|
Ssh |
TCP |
客户端 |
UC 应用程序 不允许用于Cisco Expressway应用程序。 |
大于 1023 |
22 |
管理 |
|
TFTP |
UDP |
端点 |
Unified CM |
大于 1023 |
69 |
旧终端支持 |
|
LDAP |
TCP |
UC 应用程序 |
外部目录 |
大于 1023 |
389 |
目录与客户 LDAP 同步 |
|
HTTPS |
TCP |
浏览器 |
UC 应用程序 |
大于 1023 |
443 |
针对自助和管理界面的 Web 访问 |
|
出站邮件(安全) |
TCP |
UC 应用程序 |
CUCxn |
大于 1023 |
587 |
用于撰写安全消息并发送给任何指定的接收者 |
|
LDAP(安全) |
TCP |
UC 应用程序 |
外部目录 |
大于 1023 |
636 |
目录与客户 LDAP 同步 |
|
H323 |
TCP |
网关 |
Unified CM |
大于 1023 |
1720 |
呼叫信令 |
|
H323 |
TCP |
Unified CM |
Unified CM |
大于 1023 |
1720 |
呼叫信令 |
|
SCCP |
TCP |
端点 |
Unified CM、CUCxn |
大于 1023 |
2000 |
呼叫信令 |
|
SCCP |
TCP |
Unified CM |
Unified CM,网关 |
大于 1023 |
2000 |
呼叫信令 |
|
MGCP |
UDP |
网关 |
网关 |
大于 1023 |
2427 |
呼叫信令 |
|
MGCP回程 |
TCP |
网关 |
Unified CM |
大于 1023 |
2428 |
呼叫信令 |
|
SCCP(安全) |
TCP |
端点 |
Unified CM、CUCxn |
大于 1023 |
2443 |
呼叫信令 |
|
SCCP(安全) |
TCP |
Unified CM |
Unified CM,网关 |
大于 1023 |
2443 |
呼叫信令 |
|
信任验证 |
TCP |
端点 |
Unified CM |
大于 1023 |
2445 |
向终端提供信任验证服务 |
|
CTI |
TCP |
端点 |
Unified CM |
大于 1023 |
2748 |
CTI 应用程序 (JTAPI/TSP) 和 CTIManager 之间的连接 |
|
安全的 CTI |
TCP |
端点 |
Unified CM |
大于 1023 |
2749 |
CTI 应用程序 (JTAPI/TSP) 和 CTIManager 之间的安全连接 |
|
LDAP 全球目录 |
TCP |
UC 应用程序 |
外部目录 |
大于 1023 |
3268 |
目录与客户 LDAP 同步 |
|
LDAP 全球目录 |
TCP |
UC 应用程序 |
外部目录 |
大于 1023 |
3269 |
目录与客户 LDAP 同步 |
|
CAPF 服务 |
TCP |
端点 |
Unified CM |
大于 1023 |
3804 |
证书中心代理功能 (CAPF) 侦听端口,用于向 IP 电话颁发本地重要证书 (LSC) |
|
SIP |
TCP |
端点 |
Unified CM、CUCxn |
大于 1023 |
5060 |
呼叫信令 |
|
SIP |
TCP |
Unified CM |
Unified CM,网关 |
大于 1023 |
5060 |
呼叫信令 |
|
SIP(安全) |
TCP |
端点 |
Unified CM |
大于 1023 |
5061 |
呼叫信令 |
|
SIP(安全) |
TCP |
Unified CM |
Unified CM,网关 |
大于 1023 |
5061 |
呼叫信令 |
|
SIP (OAUTH) |
TCP |
端点 |
Unified CM |
大于 1023 |
5090 |
呼叫信令 |
|
Xmpp |
TCP |
Jabber 客户端 |
Cisco 即时消息服务(IM&P) |
大于 1023 |
5222 |
即时消息传输和在线状态 |
|
HTTP |
TCP |
端点 |
Unified CM |
大于 1023 |
6970 |
将配置和图像下载至端点 |
|
HTTPS |
TCP |
端点 |
Unified CM |
大于 1023 |
6971 |
将配置和图像下载至端点 |
|
HTTPS |
TCP |
端点 |
Unified CM |
大于 1023 |
6972 |
将配置和图像下载至端点 |
|
HTTP |
TCP |
Jabber 客户端 |
CUCxn |
大于 1023 |
7080 |
语音邮件通知 |
|
HTTPS |
TCP |
Jabber 客户端 |
CUCxn |
大于 1023 |
7443 |
安全语音邮件通知 |
|
HTTPS |
TCP |
Unified CM |
Unified CM |
大于 1023 |
7501 |
供群集间查找服务 (ILS) 用于基于证书的验证 |
|
HTTPS |
TCP |
Unified CM |
Unified CM |
大于 1023 |
7502 |
ILS 用于基于密码的验证 |
|
Imap |
TCP |
Jabber 客户端 |
CUCxn |
大于 1023 |
7993 |
IMAP over TLS |
|
HTTP |
TCP |
端点 |
Unified CM |
大于 1023 |
8080 |
旧终端支持的目录URI |
|
HTTPS |
TCP |
浏览器,终端 |
UC 应用程序 |
大于 1023 |
8443 |
自助和管理界面、UDS 的 Web 访问 |
|
HTTPS |
TCP |
电话 |
Unified CM |
大于 1023 |
9443 |
经过验证的联系人搜索 |
|
HTTP |
TCP |
端点 |
Unified CM |
大于 1023 |
9444 |
耳机管理功能 |
|
安全的 RTP/SRTP |
UDP |
Unified CM |
电话 |
16384 到 32767 * |
16384 到 32767 * |
媒体(音频)- 保持音乐、Annunciator、软件会议桥接器(基于呼叫信号打开) |
|
安全的 RTP/SRTP |
UDP |
电话 |
Unified CM |
16384 到 32767 * |
16384 到 32767 * |
媒体(音频)- 保持音乐、Annunciator、软件会议桥接器(基于呼叫信号打开) |
|
眼罩 |
TCP |
客户端 |
CUCxn |
大于 1023 |
20532 |
备份和恢复应用程序套件 |
|
Icmp |
Icmp |
端点 |
UC 应用程序 |
不适用 |
不适用 |
Ping |
|
Icmp |
Icmp |
UC 应用程序 |
端点 |
不适用 |
不适用 |
Ping |
| DNS | UDP 和 TCP |
DNS前转器 |
专用实例DNS服务器 |
大于 1023 |
53 |
客户本地DNS前转器到专用实例DNS服务器。有关详细信息,请参阅DNS要求 。 |
|
* 某些特殊情况可能使用更大的范围。 |
||||||
专用实例- OTT端口
客户和合作伙伴可以使用以下端口进行移动和远程访问(MRA)设置:
|
协议 |
TCP/UCP |
Target |
目标位置 |
源端口 |
目标端口 |
目的 |
|---|---|---|---|---|---|---|
|
安全的 RTP/RTCP |
UDP |
Expressway C |
客户端 |
大于 1023 |
36000-59999 |
用于 MRA 和 B2B 呼叫的安全媒体 |
多租户和专用实例之间的互操作SIP干线(仅适用于基于注册的干线)
对于多租户和专用实例之间基于注册的SIP干线连接,客户防火墙上需要允许以下端口列表。
|
协议 |
TCP/UCP |
Target |
目标位置 |
源端口 |
目标端口 |
目的 |
|---|---|---|---|---|---|---|
|
RTP/RTCP |
UDP |
Webex 多租户 |
客户端 |
大于 1023 |
8000-48198 |
来自Webex 多租户的媒体 |
专用实例– UCCX端口
客户和合作伙伴可以使用以下端口列表来配置 UCCX。
|
协议 |
TCP/ UCP |
Target |
目标位置 |
源端口 |
目标端口 |
目的 |
|---|---|---|---|---|---|---|
|
Ssh |
TCP |
客户端 |
UCCX |
大于 1023 |
22 |
SFTP 和 SSH |
|
Informix |
TCP |
客户端或服务器 |
UCCX |
大于 1023 |
1504 |
Contact Center Express数据库端口 |
|
SIP |
UDP 和 TCP |
SIP GW 或 MCRP 服务器 |
UCCX |
大于 1023 |
5065 |
到远程 GW 和 MCRP 节点的通信 |
|
Xmpp |
TCP |
客户端 |
UCCX |
大于 1023 |
5223 |
Finesse 服务器和自定义第三方应用程序之间的安全 XMPP 连接 |
|
Cvd |
TCP |
客户端 |
UCCX |
大于 1023 |
6999 |
CCX 应用程序的编辑器 |
|
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
7443 |
Finesse 服务器与代理和监控桌面之间的安全 BOSH 连接,用于通过 HTTPS 通信 |
|
HTTP |
TCP |
客户端 |
UCCX |
大于 1023 |
8080 |
实时数据报告客户端连接到socket.IO服务器 |
|
HTTP |
TCP |
客户端 |
UCCX |
大于 1023 |
8081 |
尝试访问 Cisco Unified Intelligence Center Web 界面的客户端浏览器 |
|
HTTP |
TCP |
客户端 |
UCCX |
大于 1023 |
8443 |
管理GUI、RTMT、通过SOAP的数据库访问 |
|
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
8444 |
Cisco Unified Intelligence Center Web 界面 |
|
HTTPS |
TCP |
浏览器和 REST 客户端 |
UCCX |
大于 1023 |
8445 |
Finesse 的安全端口 |
|
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
8447 |
HTTPS - Unified Intelligence Center 在线帮助 |
|
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
8553 |
单点登录(SSO)组件可访问此接口以了解Cisco IdS的运行状态。 |
|
HTTP |
TCP |
客户端 |
UCCX |
大于 1023 |
9080 |
尝试访问 HTTP 触发器或文档、提示/语法/实时数据的客户。 |
|
HTTPS |
TCP |
客户端 |
UCCX |
大于 1023 |
9443 |
用于响应尝试访问 HTTPS 触发器的客户端的安全端口 |
|
TCP |
TCP |
客户端 |
UCCX |
大于 1023 |
12014 |
这是实时数据报告客户端可以连接到socket.IO服务器的端口 |
|
TCP |
TCP |
客户端 |
UCCX |
大于 1023 |
12015 |
这是实时数据报告客户端可以连接到socket.IO服务器的端口 |
|
CTI |
TCP |
客户端 |
UCCX |
大于 1023 |
12028 |
到CCX的第三方CTI客户端 |
|
RTP(媒体) |
TCP |
端点 |
UCCX |
大于 1023 |
大于 1023 |
根据需要动态打开媒体端口 |
|
RTP(媒体) |
TCP |
客户端 |
端点 |
大于 1023 |
大于 1023 |
根据需要动态打开媒体端口 |
客户端安全
使用 SIP OAuth 保护 Jabber Webex安全
Jabber 和 Webex 客户端通过 OAuth 令牌而不是本地重要证书 (LSC) 进行验证,该证书不要求启用认证中心代理功能 (CAPF) (也需启用 MRA)。Cisco Unified CM 12.5(1)、Jabber 12.5 和 Expressway X12.5 中引入使用或不采用混合模式的 SIP OAuth。
在 Cisco Unified CM 12.5 中,我们在电话安全档案中新增了一个选项,可在无 LSC/CAPF 的情况下使用单传输层安全性 (TLS) + SIP REGISTER 中的 OAuth 令牌进行加密。Expressway-C 节点使用管理 XML Web Service (AXL) API 来Cisco Unified证书中的 SN/SAN 通知 CM。Cisco Unified CM 在建立安全连接时,会使用此信息验证 exp-C MTLS证书。
SIP OAuth 在没有终端证书 (LSC) 的情况下启用媒体和信令加密。
Cisco Jabber 通过到 TFTP 服务器的 HTTPS 连接使用临时端口和安全端口 6971 和 6972 端口来下载配置文件。端口 6970 是一个通过 HTTP 下载的非安全端口。
有关 SIP OAuth 配置的更多详细信息: OAuth模式。
DNS要求
对于专用实例,Cisco使用以下格式为每个区域的服务提供FQDN:。。wxc-di.webex.com (例如, xyz.amer.wxc-di.webex.com)。
“客户”值由管理员作为首次设置向导 (FTSW) 的一部分提供。有关详细信息,请参阅专用 实例服务激活。
此 FQDN的 DNS 记录需要从客户的内部 DNS 服务器进行解析,以支持连接到专用实例的内部署设备。为便于解决,客户需要在指向专用实例 DNS 服务的 DNS 服务器上配置条件转发FQDN此设备。专用实例DNS服务是区域服务,可以使用下表 专用实例DNS服务IP地址中提到的以下IP地址,通过对等到专用实例来访问。
|
地区/数据中心 | 专用实例 DNS 服务 IP 地址 |
条件转移示例 |
|---|---|---|
|
美洲地区 |
<customer>.amer.wxc-di.webex.com | |
|
SJC |
69.168.17.100 |
|
|
DFW |
69.168.17.228 |
|
|
欧洲、中东及非洲 |
<customer>.emea.wxc-di.webex.com |
|
|
离子 |
178.215.138.100 |
|
|
Ams |
178.215.138.228 |
|
|
EU |
<customer>.eu.wxc-di.webex.com |
|
|
fra |
178.215.131.100 |
|
|
Ams |
178.215.131.228 |
|
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
|
罪 |
103.232.71.100 |
|
|
TKY |
103.232.71.228 |
|
|
澳大利亚 |
<customer>.aus.wxc-di.webex.com | |
|
梅尔 |
178.215.128.100 |
|
|
西德妮 |
178.215.128.228 |
|
出于安全原因,上述 DNS 服务器 IP 地址被禁用 ping 选项。
在条件转发完成前,设备将无法通过对等链接从客户内部网络注册到专用实例。通过 Mobile 和 Remote Access (MRA) 注册时,不需要条件转发,因为所有必需的外部 DNS 记录,以便于 MRA 都由 Cisco 预先设置。
在专用Webex将应用程序用作呼叫软客户端时,需要在 Control Hub 中为各个地区的语音服务域 (VSD) 配置 UC Manager 档案。有关详细信息,请参阅 Cisco Webex Control Hub 。该Webex应用程序将能自动解决客户的 Expressway Edge 问题,无需任何最终用户干预。
语音服务域将在服务激活完成后作为合作伙伴访问文档的一部分提供给客户。
使用本地路由器实现电话DNS分辨率
对于无法访问公司DNS服务器的电话,可以使用本地Cisco路由器将DNS请求转发到专用实例云DNS。这样就无需部署本地DNS服务器,并提供包括缓存在内的完整DNS支持。
示例 :
!
ip dns服务器
ip name-服务器<DI DNS服务器IP DC1> <DI DNS服务器IP DC2>
!
此部署模型中的DNS使用特定于电话,只能用于从客户专用实例通过域解析FQDN。
参考
-
Cisco Collaboration 12.x 解决方案参考网络设计 (SRND),安全主题: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
安全指南Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
