專用實例的網路需求

Webex Calling 專用實例是 Cisco Cloud Calling 產品組合的一部分,由 Cisco Unified Communications Manager (Cisco Unified CM) 協作提供技術支援。 專用實例提供語音、視訊、傳訊及行動解決方案,其功能與優點包括 Cisco IP Phone、行動裝置及桌面用戶端,這些用戶端可安全地與專用實例連線。

本文適用於網路管理員,尤其是想要在其組織內使用專用實例的防火牆和 Proxy 安全性管理員。 本文件主要著重於專用實例解決方案的網路需求和安全性,包括提供安全實體存取、安全網路、安全端點和安全 Cisco UC 應用程式等的分層方法。

專用實例中安全連線的憑證需求

Cisco 會為 Webex Calling 專用實例提供網域,並使用公用憑證授權單位 (CA) 簽署 UC 應用程式的所有憑證。

專用實例 – 埠號和通訊協定

下表說明專用實例支援的連接埠和通訊協定。 指定客戶所用的連接埠視客戶的部署和解決方案而定。 通訊協定取決於客戶的喜好設定(SCCP 與 SIP)、現有的內部部署裝置以及確定要在各部署中使用的連接埠安全層級。

專用實例 – 客戶連接埠

客戶可用的連接埠 - 客戶內部部署與專用實例之間的連接埠會顯示在表 1 專用實例客戶連接埠中。 下面列出的所有連接埠都用於遍訪對等連結的客戶流量。


SNMP 連接埠僅支援 CER 功能,不支援任何其他協力廠商監控工具。

表 1. 專用實例客戶連接埠

通訊協定

TCP/UCP

來源

目標

來源埠

目的地埠

用途

SSH

TCP

用戶端

UC 應用程式

大於 1023

22

管理

LDAP

TCP

UC 應用程式

外部目錄

大於 1023

389

目錄與客戶 LDAP 同步處理

HTTPS

TCP

瀏覽器

UC 應用程式

大於 1023

443

對自助和管理介面進行 Web 存取

LDAP(安全)

TCP

UC 應用程式

外部目錄

大於 1023

636

目錄與客戶 LDAP 同步處理

SCCP

TCP

端點

Unified CM、CUCxn

大於 1023

2000

發出通話訊號

SCCP

TCP

Unified CM

Unified CM、閘道

大於 1023

2000

發出通話訊號

SCCP(安全)

TCP

端點

Unified CM、CUCxn

大於 1023

2443

發出通話訊號

SCCP(安全)

TCP

Unified CM

Unified CM、閘道

大於 1023

2443

發出通話訊號

信任驗證

TCP

端點

Unified CM

大於 1023

2445

為端點提供信任驗證服務

CTI

TCP

端點

Unified CM

大於 1023

2748

CTI 應用程式 (JTAPI/TSP) 與 CTIManager 之間的連線

安全 CTI

TCP

端點

Unified CM

大於 1023

2749

CTI 應用程式 (JTAPI/TSP) 與 CTIManager 之間的安全連線

LDAP 通用類別目錄

TCP

UC 應用程式

外部目錄

大於 1023

3268

目錄與客戶 LDAP 同步處理

LDAP 通用類別目錄

TCP

UC 應用程式

外部目錄

大於 1023

3269

目錄與客戶 LDAP 同步處理

CAPF 服務

TCP

端點

Unified CM

大於 1023

3804

接聽連接埠以向 IP 電話發出本機重要憑證 (LSC) 的憑證授權單位代理功能 (CAPF)

SIP

TCP

端點

Unified CM、CUCxn

大於 1023

5060

發出通話訊號

SIP

TCP

Unified CM

Unified CM、閘道

大於 1023

5060

發出通話訊號

SIP(安全)

TCP

端點

Unified CM

大於 1023

5061

發出通話訊號

SIP(安全)

TCP

Unified CM

Unified CM、閘道

大於 1023

5061

發出通話訊號

SIP (OAUTH)

TCP

端點

Unified CM

大於 1023

5090

發出通話訊號

XMPP

TCP

Jabber 用戶端

Cisco IM&P

大於 1023

5222

即時傳訊和線上狀態

HTTP

TCP

端點

Unified CM

大於 1023

6970

將設定和影像下載至端點

HTTPS

TCP

端點

Unified CM

大於 1023

6971

將設定和影像下載至端點

HTTPS

TCP

端點

Unified CM

大於 1023

6972

將設定和影像下載至端點

HTTP

TCP

Jabber 用戶端

CUCxn

大於 1023

7080

語音郵件通知

HTTPS

TCP

Jabber 用戶端

CUCxn

大於 1023

7443

保障語音郵件通知的安全

HTTPS

TCP

Unified CM

Unified CM

大於 1023

7501

供叢集間查詢服務 (ILS) 用來進行憑證型驗證

HTTPS

TCP

Unified CM

Unified CM

大於 1023

7502

供 ILS 用來進行密碼型驗證

IMAP

TCP

Jabber 用戶端

CUCxn

大於 1023

7993

IMAP over TLS

HTTPS

TCP

瀏覽器、端點

UC 應用程式

大於 1023

8443

對自助和管理介面進行 Web 存取、UDS

HTTPS

TCP

Prem

Unified CM

大於 1023

9443

搜尋經過身分驗證的聯絡人

安全 RTP/SRTP

UDP

Unified CM

電話

16384 至 32767 *

16384 至 32767 *

媒體(音訊)- 等候音樂、通報器、軟體會議橋接器(根據通話訊號開啟)

安全 RTP/SRTP

UDP

電話

Unified CM

16384 至 32767 *

16384 至 32767 *

媒體(音訊)- 等候音樂、通報器、軟體會議橋接器(根據通話訊號開啟)

ICMP

ICMP

端點

UC 應用程式

不適用

不適用

連線測試

ICMP

ICMP

UC 應用程式

端點

不適用

不適用

連線測試

* 某些特殊情況使用的範圍可能更大。

專用實例 – OTT 連接埠

客戶和合作夥伴可用下列連接埠清單來設定 Mobile and Remote Access (MRA):

表 2. OTT 連接埠清單

通訊協定

TCP/UCP

來源

目標

來源埠

目的地埠

用途

安全 SIP

TCP

端點

Expressway E

大於 1023

5061

用於 MRA 註冊和通話的安全 SIP 訊號

安全 SIP

TCP

端點/伺服器

Expressway E

大於 1023

5062

B2B 通話用的安全 SIP

安全 RTP/RTCP

UDP

端點/伺服器

Expressway E

大於 1023

36000-59999

MRA 及 B2B 通話用的安全媒體

HTTPS(安全)

TLS

用戶端

Expressway E

大於 1023

8443

MRA 通話用的 CUCM UDS 和 CUCxn REST

XMLS

TLS

用戶端

Expressway E

大於 1023

5222

IM and Presence

TURN

UDP

ICA 用戶端

Expressway E

大於 1023

3478

ICE/STUN/TURN 交涉

安全 RTP/RTCP

UPD

ICA 用戶端

Expressway E

大於 1023

24000-29999

ICE 回退用的 TURN 媒體

專用實例 – UCCX 連接埠

客戶和合作夥伴可用下列連接埠清單來設定 UCCX:

表 3. Cisco UCCX 連接埠

通訊協定

TCP / UCP

來源

目標

來源埠

目的地埠

用途

SSH

TCP

用戶端

UCCX

大於 1023

22

SFTP 與 SSH

Informix

TCP

用戶端或伺服器

UCCX

大於 1023

1504

Unified CCX 資料庫連接埠

SIP

UDP 和 TCP

SIP GW 或 MCRP 伺服器

UCCX

大於 1023

5065

與遠端 GW 和 MCRP 節點進行通訊

XMPP

TCP

用戶端

UCCX

大於 1023

5223

在 Finesse 伺服器與自訂協力廠商應用程式之間進行安全 XMPP 連線

CVD

TCP

用戶端

UCCX

大於 1023

6999

CCX 應用程式的編輯器

HTTPS

TCP

用戶端

UCCX

大於 1023

7443

Finesse 伺服器與客服和主管桌面版應用程式之間的安全 BOSH 連線,透過 HTTPS 進行通訊

HTTP

TCP

用戶端

UCCX

大於 1023

8080

使通報即時資料的用戶端與 ocket.IO 伺服器連線

HTTP

TCP

用戶端

UCCX

大於 1023

8081

試圖存取 Cisco Unified Intelligence Center Web 介面的用戶端瀏覽器

HTTP

TCP

用戶端

UCCX

大於 1023

8443

透過 SOAP 存取 Admin GUI、RTMT、DB

HTTPS

TCP

用戶端

UCCX

大於 1023

8444

Cisco Unified Intelligence Center Web 介面

HTTPS

TCP

瀏覽器和 REST 用戶端

UCCX

大於 1023

8445

Finesse 的安全連接埠

HTTPS

TCP

用戶端

UCCX

大於 1023

8447

HTTPS - Unified Intelligence Center 線上說明

HTTPS

TCP

用戶端

UCCX

大於 1023

8553

單一登入 (SSO) 元件存取此介面可瞭解 Cisco IdS 的運作狀態。

HTTP

TCP

用戶端

UCCX

大於 1023

9080

試圖存取 HTTP 的用戶端會觸發文件/提示/文法/即時資料。

HTTPS

TCP

用戶端

UCCX

大於 1023

9443

用於回應嘗試存取 HTTPS 觸發的用戶端安全埠

TCP

TCP

用戶端

UCCX

大於 1023

12014

這是即時資料通報用戶端可用來與 socket.IO 伺服器連線的連接埠。

TCP

TCP

用戶端

UCCX

大於 1023

12015

這是即時資料通報用戶端可用來與 socket.IO 伺服器連線的連接埠。

CTI

TCP

用戶端

UCCX

大於 1023

12028

CCX 的協力廠商 CTI 用戶端

RTP(媒體)

TCP

端點

UCCX

大於 1023

大於 1023

媒體連接埠會視需要靈活開啟

RTP(媒體)

TCP

用戶端

端點

大於 1023

大於 1023

媒體連接埠會視需要靈活開啟

用戶端安全性

使用 SIP OAuth 保障 Jabber 和 Webex 的安全

Jabber 和 Webex 用戶端是透過 OAuth 權杖而非本機重要憑證 (LSC) 進行身分驗證的,此憑證不需啟用憑證授權單位代理功能 (CAPF)(對於 MRA 也一樣)。 Cisco Unified CM 12.5(1)、Jabber 12.5 和 Expressway X12.5 已推出使用或不使用混合模式的 SIP OAuth。

Cisco Unified CM 12.5 中的電話安全性設定檔中有個新的選項,使用此選項可在 SIP REGISTER 中使用單一傳輸層安全性 (TLS) + OAuth 權杖,藉此啟用無 LSC/CAPF 的加密。 Expressway-C 節點使用管理 XML Web 服務 (AXL) API 向 Cisco Unified CM 告知其憑證中的 SN/SAN。 Cisco Unified CM 在建立雙向 TLS 連線時,會使用此資訊來驗證 Exp-C 憑證。

SIP OAuth 啟用媒體和訊號加密時無需端點憑證 (LSC)。

Cisco Jabber 會使用暫時埠和安全連接埠 6971 及 6972,透過 HTTPS 與 TFTP 伺服器連線來下載設定檔。 連接埠 6970 是透過 HTTP 下載的非安全連接埠。

有關 SIP OAuth 設定的更多詳細資訊,請參閱: SIP OAuth 模式

DNS 需求

Cisco 會針對每個地區的專用實例提供下列格式的服務 FQDN:<customer>.<region>.wxc-di.webex.com,例如 xyz.amer.wxc-di.webex.com

管理員會在「首次安裝精靈」(FTSW) 中提供「客戶」值。 如需詳細資訊,請參閱專用實例服務啟用

此 FQDN 的 DNS 記錄需根據客戶的內部 DNS 伺服器來解析,才能支援與專用實例連線的內部部署裝置。 為了方便解析起見,客戶需要在指向專用實例 DNS 服務的 DNS 伺服器上,設定此 FQDN 的條件式轉寄站。 專用實例 DNS 服務是區域服務,此連線會使用下表中提及的下列 IP 位址,透過對等連線與專用實例連線:專用實例 DNS 服務 IP 位址

表 4. 專用實例 DNS 服務 IP 位址

地區/DC

專用實例 DNS 服務 IP 位址

條件式轉寄範例

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SIN

103.232.71.288

條件式轉寄需可使用,裝置才能透過對等連結從客戶內部網路向專用實例註冊。 透過 Mobile and Remote Access (MRA) 註冊並不需要條件式轉寄,因為 Cisco 會預先佈建 MRA 所需的外部 DNS 記錄。

使用 Webex 應用程式作為專用實例上的通話軟體用戶端時,需在 Control Hub 中針對每個地區的語音服務網域 (VSD) 來設定 UC Manager 設定檔。 如需詳細資訊,請參閱 Cisco Webex Control Hub 中的 UC Manager 設定檔。 Webex 應用程式能夠自動解析客戶的 Expressway Edge,無需終端使用者介入。


服務啟用完成後,會將語音服務網域列在合作夥伴存取文件中提供給客戶。