- 首頁
- /
- 文章
專用實例網路與安全需求
專用實例解決方案的網路和安全性需求是對可提供安全實體存取、網路、端點及Cisco UC應用程式的特性和功能的分層方法。它會描述網路需求,並列出用於將端點連線至服務的位址、通訊埠和通訊協定。
專用實例的網路需求
Webex Calling專用實例是 Cisco Cloud Calling 產品群組的一部分,它由 Cisco Unified Communications Manager (Cisco Unified CM) 協作技術提供。專用實例提供語音、視訊、傳訊及行動化解決方案,其功能與好處包括 Cisco IP 電話、行動裝置及桌面用戶端,這些用戶端可安全地連接至專用實例。
本文適用于網路系統管理員,尤其是想要在其組織中使用專用實例的防火牆和 Proxy 安全性管理員。
安全性概觀:層中的安全性
專用實例 使用層式方法進行安全性。這些層包括:
-
實體存取
-
網路
-
端點
-
UC 應用程式
下列各節說明專用實例部署中的 安全層。
實體安全性
為 Equinix 進會議室位置和 Cisco 專用 例項資料中心設備提供實體安全性很重要。當實體安全性受損時,可以發起簡單的攻擊,例如關閉客戶的交換器電源,以造成服務中斷。有了實體存取,攻擊者可以存取伺服器裝置、重設密碼,以及存取交換器。實體存取還可以協助更複雜的攻擊,例如中間人攻擊,這就是第二層安全性(網路安全)非常重要的原因。
自行加密磁片磁碟機用於託管 UC 應用程式的專用實例 資料中心。
有關一般安全性做法的更多資訊,請參閱位於以下位置的文件:https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html 。
網路安全
合作夥伴需要確保所有網路 元素在專用實例基礎結構(透過 Equinix 連接)中安全。確保安全性最佳做法(例如:)是合作夥伴的責任:
-
語音和資料單獨的 VLAN
-
啟用埠安全性,根據 CAM 表格介面限制每個埠允許的 MAC 位址數
-
防止欺詐的 IP 位址的 IP 來源保護
-
動態 ARP 檢查 (SPOOF) 會檢查位址解析通訊協定 (ARP) 和 gratuitous ARP (GARP) 的違規 (針對 ARP 欺詐)
-
802.1x 將網路存取限制于指定的 VLAN 上驗證裝置(電話支援 802)。1x)
-
服務品質 (QoS) 的組態,以適當標記語音封包
-
用於封鎖任何其他流量的防火牆埠組配置
端點安全性
Cisco 端點支援預設安全性功能,例如簽署的固件、安全開機(選取的型號)、製造商安裝的憑證 (MIC) 和簽署的設定檔,這些功能可為端點提供一定的安全性層級。
此外,合作夥伴或客戶可以啟用其他安全性,例如:
-
加密 IP 電話語音(透過 HTTPS)服務,如內線行動性
-
從憑證授權單位機構代理功能 (CAPF) 或公開憑證授權單位 (CA) 頒發本地重要證書 (LSC)
-
加密設定檔
-
加密媒體和訊號
-
若未使用這些設定,請停用這些設定:PC 埠, PC 語音 VLAN 存取, Gratuitous ARP, 網路存取, 設定按鈕, SSH, 主控台
在專用例項中 執行安全性機制可防止電話和 Unified CM 伺服器的身份遭到竊取、資料篡改以及通話訊號/媒體串流篡改。
網路專用 實例:
-
建立與維護已驗證的通訊流
-
在將檔案傳送至電話之前以數位方式簽署檔案
-
加密 IP 電話之間的媒體Cisco Unified訊號
預設的安全性為 IP 電話提供下列Cisco Unified安全性功能:
-
簽署電話組配置檔案
-
支援電話組配置檔案加密
-
HTTPS 與 Tomcat 和其他 Web 服務 (MIDlet)
對於 Unified CM 8.0 版以後,這些安全性功能預設會提供,而不執行憑證信任清單 (CTL) 用戶端。
信任驗證服務因為網路中存在大量電話,而且 IP 電話具有有限的記憶體,所以 Cisco Unified CM 會透過信任驗證服務 (TVS) 當做遠端信任儲存庫,因此憑證信任存放區無需放在每部電話上。Cisco IP 電話會聯絡 TVS 伺服器進行驗證,因為它們無法透過 CTL 或 ITL 檔案驗證簽章或憑證。與在每個 IP 電話上建立信任儲存庫相較,具有中央信任儲存庫Cisco Unified方便。
TVS 可讓Cisco Unified IP 電話在 HTTPS 建立期間驗證應用程式伺服器,例如 EM 服務、目錄和 MIDlet。
初始信任清單初始信任清單 (ITL) 檔案用於初始安全性,以便端點可以信任 Cisco Unified CM。ITL 不需要明確啟用任何安全性功能。安裝該集時,會自動建立 ITL 檔案。Unified CM 簡單檔案傳輸協定 (TFTP) 伺服器的私密金鑰用於簽署 ITL 檔案。
當 Cisco Unified CM 集或伺服器為非安全模式時,會下載 ITL 檔案至每個受支援的 Cisco IP Phone。合作夥伴可以使用 CLI 指令 admin:showl 來查看 ITL 檔案的內容。
Cisco IP 電話需要 ITL 檔案才能執行下列工作:
-
與 CAPF 安全地通訊,CAPF 是支援組設定檔加密的先決條件
-
驗證設定檔簽章
-
在使用 TVS 建立 HTTPS 期間驗證應用程式伺服器,例如 EM 服務、目錄和 MIDlet
裝置、檔案及訊號驗證依賴于建立憑證信任清單 (CTL) 檔案,此檔案是在合作夥伴或客戶安裝及設定 Cisco 憑證信任清單用戶端時建立。
CTL 檔案包含下列伺服器或安全權杖專案:
-
系統管理員安全性權杖 (SAST)
-
在同一伺服器上執行 Cisco CallManager 與 Cisco TFTP 服務
-
憑證授權單位機構代理功能 (CAPF)
-
TFTP 伺服器
-
ASA 防火牆
CTL 檔案包含每個伺服器的伺服器憑證、公開金鑰、序號、簽章、簽發者名稱、主體名稱、伺服器功能、DNS 名稱和 IP 位址。
CTL 的電話安全性提供下列功能:
-
使用簽署金鑰驗證 TFTP 下載的檔案(組、地區、響鈴清單等)
-
使用簽署金鑰加密 TFTP 設定檔
-
IP 電話的加密通話訊號
-
IP 電話的加密通話音訊(媒體)
專用實例 提供端點註冊和通話處理。Cisco Unified CM 與端點之間的訊號是以安全瘦小用戶端控制通訊協定 (SCCP) 或 階段作業起始通訊協定 (SIP) 為基礎,而且可以使用傳輸層安全性 (TLS) 加密。媒體從端點傳送/傳送給端點基於即時傳輸通訊協定 (RTP),並且也可以使用安全 RTP (SRTP) 加密。
在 Unified CM 上啟用混合模式可加密來自 Cisco 端點及至 Cisco 端點的訊號和媒體流量。
保護 UC 應用程式
在專用實例中啟用混合模式專用實例中預設為啟用混合模式。
在專用例項中啟用 混合模式可啟用從 Cisco 端點到 Cisco 端點之間的訊號和媒體流量加密的能力。
在 Cisco Unified CM 12.5(1) 版中,針對 Jabber 和 Webex 用戶端新增了基於 SIP OAuth 而非混合模式 /CTL 的訊號和媒體加密的新選項。因此,在 Unified CM 12.5(1) 版中,SIP OAuth 和 SRTP 可用於對 Jabber 或 Webex 用戶端的訊號和媒體啟用加密。目前,Cisco IP 電話及其他 Cisco 端點會繼續要求啟用混合模式。計畫在未來發行版本中為 7800/8800 端點新增對 SIP OAuth 的支援。
語音留言安全性Cisco Unity Connection TLS 埠連接至 Unified CM。當裝置安全性模式不安全時,Cisco Unity Connection SCCP 埠連接至 Unified CM。
若要為執行 SCCP 或 Cisco Unity Connection 裝置且執行 SCCP 的 Unified CM 語音留言埠及 Cisco Unity 裝置設定安全性,合作夥伴可以為此埠選擇安全裝置安全性模式。如果您選擇已驗證的語音信箱埠,TLS 連接會開啟,此連接會使用共同憑證交換來驗證裝置(每個裝置接受其他裝置憑證)。如果您選擇加密的語音信箱埠,系統會先驗證裝置,然後在裝置之間傳送加密的語音資料流程。
有關安全性語音留言埠的資訊,請參閱: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST、中繼線、閘道、CUBE/SBC 的安全性
如果Cisco Unified實例上的 Cisco Unified CM 無法完成通話,則啟用 Survivable Remote Site Telephony (SRST) 的閘道提供有限的通話處理任務。
啟用 SRST 的安全閘道包含自我簽署憑證。合作夥伴在 Unified CM 管理中執行 SRST 組配置工作後,Unified CM 會使用 TLS 連接來向啟用 SRST 的閘道中的憑證提供者服務驗證。Unified CM 隨後會從啟用 SRST 的閘道檢索憑證,並將憑證新增到 Unified CM 資料庫。
在合作夥伴在 Unified CM 管理中重設相關裝置後,TFTP 伺服器會將啟用 SRST 的閘道憑證新增加至電話 cnf.xml 檔案,並將檔案傳送至電話。然後,安全電話使用 TLS 連接與啟用 SRST 的閘道互動。
對於從 Cisco Unified CM 發話至出站 PSTN 通話或穿越 Cisco Unified Border Element (CUBE) 的閘道,建議使用安全中繼線。
SIP 中繼線可以同時支援訊號及媒體的安全通話;TLS 提供訊號加密,SRTP 提供媒體加密。
保護Cisco Unified CM與 CUBE 之間的通訊
為了在 Cisco Unified CM 和 CUBE 之間實現安全通訊,合作夥伴/客戶需要使用自我簽署憑證或 CA 簽署的憑證。
對於自我簽署憑證:
-
CUBE 和 Cisco Unified CM 會產生自我簽署憑證
-
CUBE 匯出憑證至 Cisco Unified CM
-
Cisco Unified CM 匯出憑證至 CUBE
對於 CA 簽署的憑證:
-
用戶端產生金鑰組並將憑證簽署請求 (CSR) 傳送給憑證授權單位機構 (CA)
-
CA 使用私密金鑰來簽署它,建立身分憑證
-
用戶端會安裝信任的 CA 根憑證與多彩憑證及身分憑證清單
遠端端點的安全性
有了 Mobile and Remote Access (MRA) 端點,則訊號和媒體總是會加密 MRA 端點與Expressway節點。如果 MRA 端點使用建立互動式連接 (ICE) 通訊協定,則 MRA 端點的訊號和媒體加密是必需的。但是,在 Expressway-C 與內部 Unified CM 伺服器、內部端點或其他內部裝置之間的訊號和媒體加密需要混合模式或 SIP OAuth。
Cisco Expressway為 Unified CM 註冊提供安全的防火牆穿越和線路端支援。Unified CM 為行動和內部部署端點提供通話控制。訊號會Expressway端點與 Unified CM 之間的特定解決方案。媒體會經過Expressway解決方案,並且直接在端點之間轉遞。所有媒體在 Expressway C 與行動端點之間加密。
任何 MRA 解決方案Expressway具有 MRA 相容的軟體用戶端和/或固定端點的 Expressway 和 Unified CM。解決方案可以選擇包括 IM and Presence 服務及 Unity Connection。
通訊協定摘要
下表顯示 Unified CM 解決方案中使用的通訊協定及關聯服務。
通訊協定 |
安全性 |
服務 |
---|---|---|
SIP |
TLS |
課程建立:註冊、邀請等 |
HTTPS |
TLS |
登入、供應/配置、目錄、視覺化語音信箱 |
媒體 |
SRTP |
媒體:音訊、視視、內容共用 |
Xmpp |
TLS |
即時消息, 線上狀態, 聯盟 |
設定選項
專用 例 項為合作夥伴提供了靈活性,可透過完全控制第二天配置來自訂一些服務給一些使用者。因此,合作夥伴將自行負責 為最終使用者環境正確配置專用例項服務。這包括(但不限於):
-
選擇安全/不安全通話、安全/不安全的通訊協定(例如 SIP/sSIP、HTTP/HTTPs 等)以及瞭解任何關聯的風險。
-
對於專用實例中未配置為安全 SIP 的所有 MAC 位址,攻擊者可以使用該 MAC 位址傳送 SIP 註冊訊息,並能夠撥打 SIP 通話,從而導致收費詐騙。最晞尰 尰坘癰屆癰癲癳癳癶癲癶
-
Expressway E 通話策略中,應該配置轉換和搜尋規則以防止收費欺詐。有關使用 Expressway 防止收費欺詐的資訊,請參閱 Collaboration SRND Expressway C 和 Expressway-E 版的安全性部分。
-
撥號計劃設定,以確保使用者只能撥打允許的目的地,例如,禁止國內/國際撥號、緊急呼叫被正確路由等。有關使用撥號計劃套用限制的更多資訊,請參閱撥號計劃 協作 SRND 部分。
專用實例中安全連線的憑證需求
對於專用實例,Cisco 將提供網域,並且使用公用憑證授權單位機構 (CA) 來簽署 UC 應用程式的所有憑證。
專用實例 – 連接埠號碼和通訊協定
下表說明專用實例中支援的埠和通訊協定。用於給定客戶的埠取決於客戶的部署和解決方案。通訊協定取決於客戶的喜好設定(SCCP與SIP)、現有的內部部署裝置以及什麼級別的安全性來確定要在每個部署中使用的連接埠。
專用實例不允許端點與Unified CM之間的網路位址轉換 (NAT),因為部分通話流程功能(例如通話中功能)無法正常運作。
專用實例 – 用戶端口
可供客戶使用 (客戶內部部署與專用實例之間的埠)顯示在表 1 專用實例用戶端口中。下面列出的所有埠都用於客戶流量穿越對等連結。
預設情況下, SNMP埠僅對Cisco Emergency Responder開放以支援其功能。由於我們不支援合作夥伴或客戶監控部署在專用實例雲端中的 UC 應用程式,因此我們不允許為任何其他 UC 應用程式開放SNMP埠。
5063 到 5080 範圍內的連接埠由Cisco保留用於其他雲端整合,建議合作夥伴或客戶管理員不要在其設定中使用這些連接埠。
通訊協定 |
TCP/UDP |
來源 |
目標 |
來源連接埠 |
目的地連接埠 |
用途 |
---|---|---|---|---|---|---|
Ssh |
TCP |
用戶端 |
UC 應用程式 不允許用於Cisco Expressway應用程式。 |
大於 1023 |
22 |
管理 |
TFTP |
UDP |
端點 |
Unified CM |
大於 1023 |
69 |
舊版端點支援 |
LDAP |
TCP |
UC 應用程式 |
外部目錄 |
大於 1023 |
389 |
目錄同步至客戶 LDAP |
HTTPS |
TCP |
瀏覽器 |
UC 應用程式 |
大於 1023 |
443 |
自助和管理介面的網路存取 |
外發郵件 (SECURE) |
TCP |
UC 應用程式 |
CUCxn |
大於 1023 |
587 |
用於撰寫安全訊息並將其傳送給任何指定的收件者 |
LDAP(安全) |
TCP |
UC 應用程式 |
外部目錄 |
大於 1023 |
636 |
目錄同步至客戶 LDAP |
H323 |
TCP |
閘道 |
Unified CM |
大於 1023 |
1720 |
通話訊號 |
H323 |
TCP |
Unified CM |
Unified CM |
大於 1023 |
1720 |
通話訊號 |
SCCP |
TCP |
端點 |
Unified CM、CUCxn |
大於 1023 |
2000 |
通話訊號 |
SCCP |
TCP |
Unified CM |
Unified CM,閘道 |
大於 1023 |
2000 |
通話訊號 |
MGCP |
UDP |
閘道 |
閘道 |
大於 1023 |
2427 |
通話訊號 |
MGCP回程 |
TCP |
閘道 |
Unified CM |
大於 1023 |
2428 |
通話訊號 |
SCCP(安全) |
TCP |
端點 |
Unified CM、CUCxn |
大於 1023 |
2443 |
通話訊號 |
SCCP(安全) |
TCP |
Unified CM |
Unified CM,閘道 |
大於 1023 |
2443 |
通話訊號 |
信任驗證 |
TCP |
端點 |
Unified CM |
大於 1023 |
2445 |
為端點提供信任驗證服務 |
CTI |
TCP |
端點 |
Unified CM |
大於 1023 |
2748 |
CTI 應用程式 (JTAPI/TSP) 與 CTIManager 之間的連接 |
安全 CTI |
TCP |
端點 |
Unified CM |
大於 1023 |
2749 |
CTI 應用程式 (JTAPI/TSP) 與 CTIManager 之間的安全連線 |
LDAP 全域編目 |
TCP |
UC 應用程式 |
外部目錄 |
大於 1023 |
3268 |
目錄同步至客戶 LDAP |
LDAP 全域編目 |
TCP |
UC 應用程式 |
外部目錄 |
大於 1023 |
3269 |
目錄同步至客戶 LDAP |
CAPF 服務 |
TCP |
端點 |
Unified CM |
大於 1023 |
3804 |
憑證授權單位機構代理功能 (CAPF) 聽取埠,以向 IP 電話發出本地重要憑證 (LSC) |
SIP |
TCP |
端點 |
Unified CM、CUCxn |
大於 1023 |
5060 |
通話訊號 |
SIP |
TCP |
Unified CM |
Unified CM,閘道 |
大於 1023 |
5060 |
通話訊號 |
SIP(安全) |
TCP |
端點 |
Unified CM |
大於 1023 |
5061 |
通話訊號 |
SIP(安全) |
TCP |
Unified CM |
Unified CM,閘道 |
大於 1023 |
5061 |
通話訊號 |
SIP (OAUTH) |
TCP |
端點 |
Unified CM |
大於 1023 |
5090 |
通話訊號 |
Xmpp |
TCP |
Jabber 用戶端 |
Cisco IM&P |
大於 1023 |
5222 |
即時消息與狀態 |
HTTP |
TCP |
端點 |
Unified CM |
大於 1023 |
6970 |
將組配置和影像下載至端點 |
HTTPS |
TCP |
端點 |
Unified CM |
大於 1023 |
6971 |
將組配置和影像下載至端點 |
HTTPS |
TCP |
端點 |
Unified CM |
大於 1023 |
6972 |
將組配置和影像下載至端點 |
HTTP |
TCP |
Jabber 用戶端 |
CUCxn |
大於 1023 |
7080 |
語音信箱通知 |
HTTPS |
TCP |
Jabber 用戶端 |
CUCxn |
大於 1023 |
7443 |
安全語音信箱通知 |
HTTPS |
TCP |
Unified CM |
Unified CM |
大於 1023 |
7501 |
叢叢間查找服務 (ILS) 用於憑證型驗證 |
HTTPS |
TCP |
Unified CM |
Unified CM |
大於 1023 |
7502 |
ILS 用於密碼驗證 |
Imap |
TCP |
Jabber 用戶端 |
CUCxn |
大於 1023 |
7993 |
IMAP over TLS |
HTTP |
TCP |
端點 |
Unified CM |
大於 1023 |
8080 |
舊版端點支援的目錄URI |
HTTPS |
TCP |
瀏覽器,端點 |
UC 應用程式 |
大於 1023 |
8443 |
自助和管理介面、UDS 的網路存取 |
HTTPS |
TCP |
電話 |
Unified CM |
大於 1023 |
9443 |
經過驗證的聯絡人搜尋 |
HTTPS |
TCP |
端點 |
Unified CM |
大於 1023 |
9444 |
耳機管理功能 |
安全 RTP/SRTP |
UDP |
Unified CM |
電話 |
16384 至 32767 * |
16384 至 32767 * |
媒體(音訊)- 等候音樂、訊號器、軟體會議橋接器(基於通話訊號開啟) |
安全 RTP/SRTP |
UDP |
電話 |
Unified CM |
16384 至 32767 * |
16384 至 32767 * |
媒體(音訊)- 等候音樂、訊號器、軟體會議橋接器(基於通話訊號開啟) |
眼鏡蛇 |
TCP |
用戶端 |
CUCxn |
大於 1023 |
20532 |
備份與還原應用程式套件 |
Icmp |
Icmp |
端點 |
UC 應用程式 |
不適用 |
不適用 |
連線測試 |
Icmp |
Icmp |
UC 應用程式 |
端點 |
不適用 |
不適用 |
連線測試 |
DNS | UDP 和 TCP |
DNS轉送程式 |
專用實例DNS伺服器 |
大於 1023 |
53 |
客戶內部DNS轉送者至專用實例DNS伺服器。請參閱DNS需求 獲取更多資訊。 |
* 某些特殊案例可以使用更大的範圍。 |
專用實例 – OTT 連接埠
客戶和合作夥伴可使用以下連接埠進行 Mobile and Remote Access (MRA) 設定:
通訊協定 |
TCP/UCP |
來源 |
目標 |
來源連接埠 |
目的地連接埠 |
用途 |
---|---|---|---|---|---|---|
安全 RTP/RTCP |
UDP |
Expressway C |
用戶端 |
大於 1023 |
36000-59999 |
MRA 及 B2B 通話的安全媒體 |
多租戶與專用實例之間的互通性SIP trunk (僅適用於基於註冊的 trunk)
對於在多租戶和專用實例之間進行基於註冊的SIP trunk連線,客戶的防火牆需要允許以下連接埠清單。
通訊協定 |
TCP/UCP |
來源 |
目標 |
來源連接埠 |
目的地連接埠 |
用途 |
---|---|---|---|---|---|---|
RTP/ RTCP |
UDP |
Webex Calling多租戶 |
用戶端 |
大於 1023 |
8000-48198 |
Webex Calling多租戶中的媒體 |
專用實例 – UCCX 連接埠
客戶和合作夥伴可以使用下列埠清單來配置 UCCX。
通訊協定 |
TCP / UCP |
來源 |
目標 |
來源連接埠 |
目的地連接埠 |
用途 |
---|---|---|---|---|---|---|
Ssh |
TCP |
用戶端 |
UCCX |
大於 1023 |
22 |
SFTP 與 SSH |
Informix |
TCP |
用戶端或伺服器 |
UCCX |
大於 1023 |
1504 |
Contact Center Express 資料庫連接埠 |
SIP |
UDP 和 TCP |
SIP GW 或 MCRP 伺服器 |
UCCX |
大於 1023 |
5065 |
與遠端 GW 和 MCRP 節點通訊 |
Xmpp |
TCP |
用戶端 |
UCCX |
大於 1023 |
5223 |
Finesse 伺服器與自訂協力廠商應用程式之間的安全 XMPP 連接 |
Cvd |
TCP |
用戶端 |
UCCX |
大於 1023 |
6999 |
CCX 應用程式的編輯器 |
HTTPS |
TCP |
用戶端 |
UCCX |
大於 1023 |
7443 |
Finesse 伺服器與代理與監督員桌面之間的安全 BOSH 連接,用於 HTTPS 通訊 |
HTTP |
TCP |
用戶端 |
UCCX |
大於 1023 |
8080 |
即時資料報告用戶端連線至 socket.IO 伺服器 |
HTTP |
TCP |
用戶端 |
UCCX |
大於 1023 |
8081 |
用戶端瀏覽器嘗試存取 Cisco Unified Intelligence Center Web 介面 |
HTTP |
TCP |
用戶端 |
UCCX |
大於 1023 |
8443 |
管理GUI, RTCP, 透過SOAP進行資料庫存取 |
HTTPS |
TCP |
用戶端 |
UCCX |
大於 1023 |
8444 |
Cisco Unified Intelligence Center Web 介面 |
HTTPS |
TCP |
瀏覽器和 REST 用戶端 |
UCCX |
大於 1023 |
8445 |
Finesse 的安全埠 |
HTTPS |
TCP |
用戶端 |
UCCX |
大於 1023 |
8447 |
HTTPS - Unified Intelligence Center 線上說明 |
HTTPS |
TCP |
用戶端 |
UCCX |
大於 1023 |
8553 |
單一登入 (SSO) 元件會存取此介面,以了解Cisco IdS 的作業狀態。 |
HTTP |
TCP |
用戶端 |
UCCX |
大於 1023 |
9080 |
嘗試存取 HTTP 的用戶端觸發或檔/提示/語法/即時資料。 |
HTTPS |
TCP |
用戶端 |
UCCX |
大於 1023 |
9443 |
用於回應嘗試存取 HTTPS 觸發的用戶端的安全埠 |
TCP |
TCP |
用戶端 |
UCCX |
大於 1023 |
12014 |
這是即時資料報告用戶端可連線至 socket.IO 伺服器的埠。 |
TCP |
TCP |
用戶端 |
UCCX |
大於 1023 |
12015 |
這是即時資料報告用戶端可連線至 socket.IO 伺服器的埠。 |
CTI |
TCP |
用戶端 |
UCCX |
大於 1023 |
12028 |
第三方CTI用戶端至 CCX |
RTP(媒體) |
TCP |
端點 |
UCCX |
大於 1023 |
大於 1023 |
媒體埠會根據需要動態開啟 |
RTP(媒體) |
TCP |
用戶端 |
端點 |
大於 1023 |
大於 1023 |
媒體埠會根據需要動態開啟 |
用戶端安全性
使用 SIP OAuth 保護 Jabber 和 Webex 的安全
Jabber 和 Webex 用戶端是透過 OAuth 權杖而非本地重要憑證 (LSC) 來驗證的,此憑證不需要憑證授權單位機構代理功能 (CAPF) 啟用(對於 MRA)。在 Cisco Unified CM 12.5(1)、Jabber 12.5 和 Expressway X12.5 中引進了使用或不含混合模式的 SIP OAuth。
在 Cisco Unified CM 12.5 中,我們在電話安全性設定檔中提供了一個新的選項,可在 SIP REGISTER 中使用單一傳輸層安全性 (TLS) + OAuth 權杖,以啟用不含 LSC/CAPF 的加密。Expressway-C 節點使用管理 XML Web 服務 (AXL) API,Cisco Unified CM 通知其憑證中的 SN/SAN。Cisco Unified CM 在建立快速連接時,會使用此資訊來驗證 Exp-Cert 雙向 TLS。
SIP OAuth 啟用不含端點憑證 (LSC) 的媒體和訊號加密。
Cisco Jabber 透過 HTTPS 與 TFTP 伺服器的暫時埠和安全埠 6971 及 6972 埠來下載組設定檔。埠 6970 是透過 HTTP 下載的非安全埠。
有關 SIP OAuth 組配置的更多詳細資訊:SIP OAuth 模式。
DNS需求
對於專用實例Cisco在每個地區都使用以下格式提供服務的 FQDN 。 .wxc-di.webex.com 譬如, xyz.amer.wxc-di.webex.com 。
管理員在首次設定精靈 (FTSW) 中提供'客戶'值。更多資訊,請參閱專用 實例服務啟動。
此伺服器的 DNS FQDN需要從客戶的內部 DNS 伺服器解析以支援連接至專用實例的內部部署裝置。為了便於解決,客戶需要在指向專用實例 DNS 服務的 DNS 伺服器上FQDN此位址的條件轉轉程式。專用實例DNS服務是區域性的,且可使用下表中所述的以下IP位址,透過與專用實例的對等互連來存取 專用實例DNS服務IP位址。
地區/DC | 專用實例 DNS 服務 IP 位址 |
條件轉推範例 |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
離子 |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
歐盟 |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
罪 |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
梅爾 |
178.215.128.100 |
|
西德妮 |
178.215.128.228 |
|
英國 |
<customer>.uk.wxc-di.webex.com | |
離子 |
178.215.135.100 |
|
曼 |
178.215.135.228 |
基於安全原因,上述 DNS 伺服器 IP 位址停用 ping 選項。
在條件轉轉完成之前,裝置將無法透過對等連結從客戶內部網路向專用實例註冊。透過行動及行動資料 (MRA) 註冊不需要條件Remote Access轉撥,因為為了便於 MRA 使用而需要的所有外部 DNS 記錄,都將由 Cisco 預先布建設定。
在專用實例上使用 Webex 應用程式作為通話軟體用戶端時,需要在 Control Hub 中針對每個地區的語音服務網域 (VSD) 來配置 UC Manager 設定檔。更多資訊,請參閱中 UC Manager 設定檔Cisco Webex Control Hub。Webex 應用程式將能夠自動解決客戶的Expressway問題,而無需最終使用者介入。
服務啟動完成後,語音服務網域將作為合作夥伴存取檔的一部分提供給客戶。
使用本地路由器進行電話DNS解析
對於無法存取公司DNS伺服器的電話,可以使用本機Cisco路由器將DNS請求轉寄至專用實例雲端DNS。這樣便無需部署本機DNS 伺服器,並提供包括快取在內的完整DNS支援。
範例設定 :
!
ip DNS 伺服器
ip 名稱伺服器
!
此部署模型中的DNS使用情況特定於電話,並且只能用於解析具有客戶專用實例中的網域的 FQDN。
參考
-
Cisco Collaboration 12.x 解決方案參考網路設計 (SRND),安全性主題: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
安全指南Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html