專用實例的網路需求

Webex Calling 專用實例是 Cisco Cloud Calling 產品組合的一部分,由 Cisco Unified Communications Manager (Cisco Unified CM) 協作提供技術支援。 專用實例提供語音、視訊、傳訊及行動解決方案,其功能與優點包括 Cisco IP Phone、行動裝置及桌面用戶端,這些用戶端可安全地與專用實例連線。

本文適用於網路管理員,尤其是想要在其組織內使用專用實例的防火牆和 Proxy 安全性管理員。 本文件主要著重於專用實例解決方案的網路需求和安全性,包括提供安全實體存取、安全網路、安全端點和安全 Cisco UC 應用程式等的分層方法。

安全性概觀: 分層的安全性

專用實例使用分層方法來取得安全性。 層包括:

  • 實體存取

  • 網路

  • 端點

  • UC 應用程式

下列各節說明專用實例部署中的安全層。

實體安全性

為 Equinix Meet-Me Room 位置和 Cisco 專用實例資料中心設施提供實體安全性很重要。 當實體安全性受損時,可以發起簡單的攻擊,例如關閉客戶交換器的電源以中斷服務。 透過實體存取,攻擊者可以存取伺服器裝置、重設密碼以及存取交換器。 實體存取還有助於發起更複雜的攻擊,例如中間人攻擊,這就是第二層安全性(網路安全性)非常重要的原因。

自行加密磁碟機用於託管 UC 應用程式的專用實例資料中心。

如需一般安全性做法的相關資訊,請參閱下列位置的文件: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html

網路安全性

合作夥伴需要確保所有網路元素在專用實例基礎結構(透過 Equinix 連接)中的安全性。 合作夥伴有責任確保安全性最佳做法,例如:

  • 語音和資料採用單獨的 VLAN

  • 啟用連接埠安全性,這會限制每個連接埠允許的 MAC 位址數,防止 CAM 表格泛濫

  • IP 來源保護,防止偽裝的 IP 位址

  • 動態 ARP 檢查 (DAI) 會檢查位址解析通訊協定 (ARP) 和無償 ARP (GARP) 中是否存在違規(防止 ARP 詐騙)

  • 802.1x 將網路存取限制于指定的 VLAN 上驗證裝置(電話支援 802)。1x)

  • 設定服務品質 (QoS),以適當標記語音封包

  • 設定防火牆連接埠以封鎖任何其他流量

端點安全性

Cisco 端點支援預設安全性功能,例如簽署的韌體、安全開機(選取的型號)、製造商安裝的憑證 (MIC) 和簽署的設定檔,這些功能可為端點提供一定的安全性。

此外,合作夥伴或客戶可以啟用額外的安全性,例如:

  • 針對 Extension Mobility 等服務加密 IP 電話服務(透過 HTTPS)

  • 從憑證授權單位代理功能 (CAPF) 或公用憑證授權單位 (CA) 發出本機重要憑證 (LSC)

  • 加密設定檔

  • 加密媒體和訊號

  • 下列設定若未使用,則將其停用: PC 連接埠、PC 語音 VLAN 存取、無償 ARP、Web 存取、設定按鈕、SSH、主控台

專用實例中實施安全性機制可防止電話和 Unified CM 伺服器的身分遭竊、資料竄改以及通話訊號/媒體串流竄改。

網路上的專用實例

  • 建立與維護已驗證的通訊串流

  • 在將檔案傳送至電話之前以數位方式簽署檔案

  • 加密 Cisco Unified IP 電話之間的媒體串流和通話訊號

預設安全性設定

依預設,安全性可為 Cisco Unified IP 電話提供下列自動安全性功能:

  • 簽署電話設定檔

  • 支援電話設定檔加密

  • 使用 Tomcat 的 HTTPS 和其他 Web 服務 (MIDlet)

對於 Unified CM 8.0 版及更新版本,依預設會提供這些安全性功能,而無需執行憑證信任清單 (CTL) 用戶端。

信任驗證服務

因為網路中存在大量電話,而且 IP 電話的記憶體十分有限,所以 Cisco Unified CM 會透過信任驗證服務 (TVS) 充當遠端信任存放區,這樣便無需在每部電話上都建立憑證信任存放區。 Cisco IP 電話會聯絡 TVS 伺服器進行驗證,因為它們無法透過 CTL 或 ITL 檔案驗證簽章或憑證。 與其在每部 Cisco Unified IP 電話上都建立信任存放區,管理中央信任存放區更為輕鬆。

透過 TVS,Cisco Unified IP 電話可在 HTTPS 建立期間驗證應用程式伺服器,例如 EM 服務、目錄和 MIDlet。

初始信任清單

使用初始信任清單 (ITL) 檔案可獲得初始安全性,這樣端點便可以信任 Cisco Unified CM。 ITL 不需要明確啟用任何安全性功能。 安裝叢集時,會自動建立 ITL 檔案。 Unified CM 簡單式檔案傳輸通訊協定 (TFTP) 伺服器的私密金鑰用來簽署 ITL 檔案。

當 Cisco Unified CM 叢集或伺服器處於非安全模式時,會將 ITL 檔案下載至每個受支援的 Cisco IP 電話。 合作夥伴可以使用 CLI 指令 admin:show itl 來檢視 ITL 檔案的內容。

Cisco IP 電話需要 ITL 檔案來執行下列任務:

  • 與 CAPF 安全通訊,這是支援設定檔加密的先決條件

  • 驗證設定檔簽章

  • 在建立 HTTPS 期間,使用 TVS 驗證應用程式伺服器,例如 EM 服務、目錄和 MIDlet

Cisco CTL

裝置、檔案及訊號驗證依賴於憑證信任清單 (CTL) 檔案的建立,該檔案在合作夥伴或客戶安裝及設定 Cisco 憑證信任清單用戶端時建立。

CTL 檔案包含下列伺服器或安全性權杖的項目:

  • 系統管理員安全性權杖 (SAST)

  • 在同一伺服器上執行的 Cisco CallManager 與 Cisco TFTP 服務

  • 憑證授權單位代理功能 (CAPF)

  • TFTP 伺服器

  • ASA 防火牆

CTL 檔案包含每個伺服器的伺服器憑證、公開金鑰、序號、簽章、簽發者姓名、主體名稱、伺服器功能、DNS 名稱和 IP 位址。

採用 CTL 的電話安全性可提供下列功能:

  • 使用簽署金鑰驗證 TFTP 所下載的檔案(設定、地區設定、響鈴清單等)

  • 使用簽署金鑰加密 TFTP 設定檔

  • 加密 IP 電話的通話訊號

  • 加密 IP 電話的通話音訊(媒體)

專用實例中 Cisco IP 電話的安全性

專用實例可提供端點註冊和通話處理。 Cisco Unified CM 與端點之間的訊號傳送基於安全的 Skinny Client Control Protocol (SCCP) 或階段作業起始通訊協定 (SIP),可以使用傳輸層安全性 (TLS) 加密。 進出端點的媒體基於即時傳輸通訊協定 (RTP),也可以使用安全 RTP (SRTP) 加密。

在 Unified CM 上啟用混合模式可加密進出 Cisco 端點的訊號和媒體流量。

安全的 UC 應用程式

專用實例中啟用混合模式

依預設,專用實例中未啟用混合模式。

專用實例中啟用混合模式可對進出 Cisco 端點的訊號和媒體流量執行加密。

在 Cisco Unified CM 12.5(1) 版中,針對 Jabber 和 Webex 用戶端新增了一個新選項,可基於 SIP OAuth 而非混合模式/CTL 對訊號和媒體啟用加密。 因此,在 Unified CM 12.5(1) 版中,可使用 SIP OAuth 和 SRTP 對 Jabber 或 Webex 用戶端的訊號和媒體啟用加密。 目前,Cisco IP 電話及其他 Cisco 端點仍然要求啟用混合模式。 在未來發行版中,計劃在 7800/8800 端點中新增對 SIP OAuth 的支援。

語音留言安全性

Cisco Unity Connection 透過 TLS 連接埠連線至 Unified CM。 當裝置安全性模式為非安全時,Cisco Unity Connection 會透過 SCCP 連接埠連線至 Unified CM。

若要為 Unified CM 語音留言連接埠以及執行 SCCP 的 Cisco Unity 裝置或執行 SCCP 的 Cisco Unity Connection 裝置設定安全性,合作夥伴可以為連接埠選擇安全的裝置安全性模式。 如果您選擇已驗證的語音郵件連接埠,則 TLS 連線會開啟,此連線會使用雙向憑證交換(每個裝置接受其他裝置的憑證)來驗證裝置。 如果您選擇已加密的語音郵件連接埠,則系統會先驗證裝置,然後在裝置之間傳送加密的語音流。

如需安全性語音留言連接埠的相關資訊,請參閱: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

SRST、幹線、閘道、CUBE/SBC 的安全性

如果專用實例上的 Cisco Unified CM 無法完成通話,則啟用 Cisco Unified Survivable Remote Site Telephony (SRST) 的閘道會提供有限的通話處理任務。

啟用安全 SRST 的閘道包含自我簽署憑證。 合作夥伴在 Unified CM 管理中執行 SRST 設定任務後,Unified CM 會使用 TLS 連線在啟用 SRST 的閘道中向憑證提供者服務進行驗證。 Unified CM 隨後會從啟用 SRST 的閘道中擷取憑證,並將憑證新增至 Unified CM 資料庫。

合作夥伴在 Unified CM 管理中重設相關裝置後,TFTP 伺服器會將啟用 SRST 的閘道憑證新增至電話 cnf.xml 檔案,並將該檔案傳送至電話。 安全電話隨後會使用 TLS 連線與啟用 SRST 的閘道互動。

建議針對從 Cisco Unified CM 至閘道進行外撥 PSTN 呼叫或遍訪 Cisco Unified Border Element (CUBE) 的通話使用安全幹線。

SIP 幹線可以同時支援訊號及媒體的安全通話;TLS 會提供訊號加密,SRTP 則提供媒體加密。

確保 Cisco Unified CM 與 CUBE 之間的通訊安全

為了確保 Cisco Unified CM 與 CUBE 之間的通訊安全,合作夥伴/客戶需要使用自我簽署憑證或 CA 簽署憑證。

針對自我簽署憑證:

  1. CUBE 和 Cisco Unified CM 產生自我簽署憑證

  2. CUBE 將憑證匯出至 Cisco Unified CM

  3. Cisco Unified CM 將憑證匯出至 CUBE

針對 CA 簽署憑證:

  1. 用戶端產生金鑰組並將憑證簽署請求 (CSR) 傳送給憑證授權單位 (CA)

  2. CA 使用私密金鑰簽署它,從而建立了身分識別憑證

  3. 用戶端安裝信任的 CA 根憑證與中繼憑證清單以及身分識別憑證

遠端端點的安全性

有了 Mobile and Remote Access (MRA) 端點,MRA 端點與 Expressway 節點之間的訊號和媒體一律加密。 如果針對 MRA 端點使用互動式連線建立 (ICE) 通訊協定,則 MRA 端點的訊號和媒體必須加密。 但是,加密 Expressway-C 與內部 Unified CM 伺服器、內部端點或其他內部裝置之間的訊號和媒體則需要混合模式或 SIP OAuth。

Cisco Expressway 可為 Unified CM 註冊提供安全的防火牆穿越和線路端支援。 Unified CM 可同時為行動和內部部署端點提供呼叫控制。 訊號在遠端端點與 Unified CM 之間遍訪 Expressway 解決方案。 媒體遍訪 Expressway 解決方案,並且直接在端點之間轉送。 Expressway-C 與行動端點之間的所有媒體均已加密。

任何 MRA 解決方案都需要 Expressway 和 Unified CM,以及 MRA 相容的軟體用戶端和/或固定端點。 該解決方案可以選擇包括 IM and Presence Service 及 Unity Connection。

通訊協定摘要

下表顯示 Unified CM 解決方案中使用的通訊協定及相關聯的服務。

表 1. 通訊協定及相關聯的服務

通訊協定

安全性

服務

SIP

TLS

階段作業建立: 註冊、邀請等

HTTPS

TLS

登入、佈建/設定、目錄、可視語音郵件

媒體

SRTP

媒體: 音訊、視訊、內容共用

XMPP

TLS

即時傳訊、線上狀態、同盟

如需 MRA 設定的相關資訊,請參閱: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

設定選項

專用實例為合作夥伴提供了靈活性,可透過完全控制第二天設定來為終端使用者自訂服務。 因此,合作夥伴將全權負責為終端使用者的環境正確設定專用實例服務。 這包括但不限於:

  • 選擇安全/不安全的通話、安全/不安全的通訊協定(例如 SIP/sSIP、http/https 等)以及瞭解任何相關聯的風險。

  • 對於在專用實例中未設定為安全 SIP 的所有 MAC 位址,攻擊者可以使用該 MAC 位址傳送 SIP 註冊訊息,並能夠撥打 SIP 呼叫,從而導致收費詐騙。 先決條件是如果攻擊者知道在專用實例中註冊的裝置的 MAC 位址,則可以將其 SIP 裝置/軟體註冊到專用實例而無需授權。

  • 應設定 Expressway-E 呼叫原則、轉換和搜尋規則以防止收費詐騙。 如需使用 Expressway 防止收費詐騙的相關資訊,請參閱 Collaboration SRND 的 Security for Expressway C and Expressway-E 一節。

  • 撥號計劃設定,以確保使用者只能撥打允許的目的地,例如禁止國內/國際撥號、正確路由緊急呼叫等。如需使用撥號計劃來套用限制的相關資訊,請參閱 Collaboration SRND 的 Dial Plan 一節。

專用實例中安全連線的憑證需求

針對專用實例,Cisco 會提供網域並使用公用憑證授權單位 (CA) 簽署 UC 應用程式的所有憑證。

專用實例 – 埠號和通訊協定

下表說明專用實例支援的連接埠和通訊協定。 指定客戶所用的連接埠視客戶的部署和解決方案而定。 通訊協定取決於客戶的喜好設定(SCCP 與 SIP)、現有的內部部署裝置以及確定要在各部署中使用的連接埠安全層級。

專用實例 – 客戶連接埠

客戶可用的連接埠 - 客戶內部部署與專用實例之間的連接埠會顯示在表 1 專用實例客戶連接埠中。 下面列出的所有連接埠都用於遍訪對等連結的客戶流量。


SNMP 連接埠僅支援 CER 功能,不支援任何其他協力廠商監控工具。


範圍為 5063 至 5080 的埠由 Cisco 保留用於其他雲端整合,建議合作夥伴或客戶管理員不要使用這些埠進行其組配置。

表 2. 專用實例客戶連接埠

通訊協定

TCP/UCP

來源

目標

來源埠

目的地埠

用途

SSH

TCP

用戶端

UC 應用程式

大於 1023

22

管理

LDAP

TCP

UC 應用程式

外部目錄

大於 1023

389

目錄與客戶 LDAP 同步處理

HTTPS

TCP

瀏覽器

UC 應用程式

大於 1023

443

對自助和管理介面進行 Web 存取

LDAP(安全)

TCP

UC 應用程式

外部目錄

大於 1023

636

目錄與客戶 LDAP 同步處理

SCCP

TCP

端點

Unified CM、CUCxn

大於 1023

2000

發出通話訊號

SCCP

TCP

Unified CM

Unified CM、閘道

大於 1023

2000

發出通話訊號

SCCP(安全)

TCP

端點

Unified CM、CUCxn

大於 1023

2443

發出通話訊號

SCCP(安全)

TCP

Unified CM

Unified CM、閘道

大於 1023

2443

發出通話訊號

信任驗證

TCP

端點

Unified CM

大於 1023

2445

為端點提供信任驗證服務

CTI

TCP

端點

Unified CM

大於 1023

2748

CTI 應用程式 (JTAPI/TSP) 與 CTIManager 之間的連線

安全 CTI

TCP

端點

Unified CM

大於 1023

2749

CTI 應用程式 (JTAPI/TSP) 與 CTIManager 之間的安全連線

LDAP 通用類別目錄

TCP

UC 應用程式

外部目錄

大於 1023

3268

目錄與客戶 LDAP 同步處理

LDAP 通用類別目錄

TCP

UC 應用程式

外部目錄

大於 1023

3269

目錄與客戶 LDAP 同步處理

CAPF 服務

TCP

端點

Unified CM

大於 1023

3804

接聽連接埠以向 IP 電話發出本機重要憑證 (LSC) 的憑證授權單位代理功能 (CAPF)

SIP

TCP

端點

Unified CM、CUCxn

大於 1023

5060

發出通話訊號

SIP

TCP

Unified CM

Unified CM、閘道

大於 1023

5060

發出通話訊號

SIP(安全)

TCP

端點

Unified CM

大於 1023

5061

發出通話訊號

SIP(安全)

TCP

Unified CM

Unified CM、閘道

大於 1023

5061

發出通話訊號

SIP (OAUTH)

TCP

端點

Unified CM

大於 1023

5090

發出通話訊號

XMPP

TCP

Jabber 用戶端

Cisco IM&P

大於 1023

5222

即時傳訊和線上狀態

HTTP

TCP

端點

Unified CM

大於 1023

6970

將設定和影像下載至端點

HTTPS

TCP

端點

Unified CM

大於 1023

6971

將設定和影像下載至端點

HTTPS

TCP

端點

Unified CM

大於 1023

6972

將設定和影像下載至端點

HTTP

TCP

Jabber 用戶端

CUCxn

大於 1023

7080

語音郵件通知

HTTPS

TCP

Jabber 用戶端

CUCxn

大於 1023

7443

保障語音郵件通知的安全

HTTPS

TCP

Unified CM

Unified CM

大於 1023

7501

供叢集間查詢服務 (ILS) 用來進行憑證型驗證

HTTPS

TCP

Unified CM

Unified CM

大於 1023

7502

供 ILS 用來進行密碼型驗證

IMAP

TCP

Jabber 用戶端

CUCxn

大於 1023

7993

IMAP over TLS

HTTPS

TCP

瀏覽器、端點

UC 應用程式

大於 1023

8443

對自助和管理介面進行 Web 存取、UDS

HTTPS

TCP

Prem

Unified CM

大於 1023

9443

搜尋經過身分驗證的聯絡人

安全 RTP/SRTP

UDP

Unified CM

電話

16384 至 32767 *

16384 至 32767 *

媒體(音訊)- 等候音樂、通報器、軟體會議橋接器(根據通話訊號開啟)

安全 RTP/SRTP

UDP

電話

Unified CM

16384 至 32767 *

16384 至 32767 *

媒體(音訊)- 等候音樂、通報器、軟體會議橋接器(根據通話訊號開啟)

ICMP

ICMP

端點

UC 應用程式

不適用

不適用

連線測試

ICMP

ICMP

UC 應用程式

端點

不適用

不適用

連線測試

* 某些特殊情況使用的範圍可能更大。

專用實例 – OTT 連接埠

客戶和合作夥伴可用下列連接埠清單來設定 Mobile and Remote Access (MRA):

表 3. OTT 連接埠清單

通訊協定

TCP/UCP

來源

目標

來源埠

目的地埠

用途

安全 SIP

TCP

端點

Expressway E

大於 1023

5061

用於 MRA 註冊和通話的安全 SIP 訊號

安全 SIP

TCP

端點/伺服器

Expressway E

大於 1023

5062

B2B 通話用的安全 SIP

安全 RTP/RTCP

UDP

端點/伺服器

Expressway E

大於 1023

36000-59999

MRA 及 B2B 通話用的安全媒體

HTTPS(安全)

TLS

用戶端

Expressway E

大於 1023

8443

MRA 通話用的 CUCM UDS 和 CUCxn REST

XMLS

TLS

用戶端

Expressway E

大於 1023

5222

IM and Presence

TURN

UDP

ICA 用戶端

Expressway E

大於 1023

3478

ICE/STUN/TURN 交涉

安全 RTP/RTCP

UPD

ICA 用戶端

Expressway E

大於 1023

24000-29999

ICE 回退用的 TURN 媒體

專用實例 – UCCX 連接埠

客戶和合作夥伴可用下列連接埠清單來設定 UCCX:

表 4. Cisco UCCX 連接埠

通訊協定

TCP / UCP

來源

目標

來源埠

目的地埠

用途

SSH

TCP

用戶端

UCCX

大於 1023

22

SFTP 與 SSH

Informix

TCP

用戶端或伺服器

UCCX

大於 1023

1504

Unified CCX 資料庫連接埠

SIP

UDP 和 TCP

SIP GW 或 MCRP 伺服器

UCCX

大於 1023

5065

與遠端 GW 和 MCRP 節點進行通訊

XMPP

TCP

用戶端

UCCX

大於 1023

5223

在 Finesse 伺服器與自訂協力廠商應用程式之間進行安全 XMPP 連線

CVD

TCP

用戶端

UCCX

大於 1023

6999

CCX 應用程式的編輯器

HTTPS

TCP

用戶端

UCCX

大於 1023

7443

Finesse 伺服器與客服和主管桌面版應用程式之間的安全 BOSH 連線,透過 HTTPS 進行通訊

HTTP

TCP

用戶端

UCCX

大於 1023

8080

使通報即時資料的用戶端與 ocket.IO 伺服器連線

HTTP

TCP

用戶端

UCCX

大於 1023

8081

試圖存取 Cisco Unified Intelligence Center Web 介面的用戶端瀏覽器

HTTP

TCP

用戶端

UCCX

大於 1023

8443

透過 SOAP 存取 Admin GUI、RTMT、DB

HTTPS

TCP

用戶端

UCCX

大於 1023

8444

Cisco Unified Intelligence Center Web 介面

HTTPS

TCP

瀏覽器和 REST 用戶端

UCCX

大於 1023

8445

Finesse 的安全連接埠

HTTPS

TCP

用戶端

UCCX

大於 1023

8447

HTTPS - Unified Intelligence Center 線上說明

HTTPS

TCP

用戶端

UCCX

大於 1023

8553

單一登入 (SSO) 元件存取此介面可瞭解 Cisco IdS 的運作狀態。

HTTP

TCP

用戶端

UCCX

大於 1023

9080

試圖存取 HTTP 的用戶端會觸發文件/提示/文法/即時資料。

HTTPS

TCP

用戶端

UCCX

大於 1023

9443

用於回應嘗試存取 HTTPS 觸發的用戶端安全埠

TCP

TCP

用戶端

UCCX

大於 1023

12014

這是即時資料通報用戶端可用來與 socket.IO 伺服器連線的連接埠。

TCP

TCP

用戶端

UCCX

大於 1023

12015

這是即時資料通報用戶端可用來與 socket.IO 伺服器連線的連接埠。

CTI

TCP

用戶端

UCCX

大於 1023

12028

CCX 的協力廠商 CTI 用戶端

RTP(媒體)

TCP

端點

UCCX

大於 1023

大於 1023

媒體連接埠會視需要靈活開啟

RTP(媒體)

TCP

用戶端

端點

大於 1023

大於 1023

媒體連接埠會視需要靈活開啟

用戶端安全性

使用 SIP OAuth 保障 Jabber 和 Webex 的安全

Jabber 和 Webex 用戶端是透過 OAuth 權杖而非本機重要憑證 (LSC) 進行身分驗證的,此憑證不需啟用憑證授權單位代理功能 (CAPF)(對於 MRA 也一樣)。 Cisco Unified CM 12.5(1)、Jabber 12.5 和 Expressway X12.5 已推出使用或不使用混合模式的 SIP OAuth。

Cisco Unified CM 12.5 中的電話安全性設定檔中有個新的選項,使用此選項可在 SIP REGISTER 中使用單一傳輸層安全性 (TLS) + OAuth 權杖,藉此啟用無 LSC/CAPF 的加密。 Expressway-C 節點使用管理 XML Web 服務 (AXL) API 向 Cisco Unified CM 告知其憑證中的 SN/SAN。 Cisco Unified CM 在建立雙向 TLS 連線時,會使用此資訊來驗證 Exp-C 憑證。

SIP OAuth 啟用媒體和訊號加密時無需端點憑證 (LSC)。

Cisco Jabber 會使用暫時埠和安全連接埠 6971 及 6972,透過 HTTPS 與 TFTP 伺服器連線來下載設定檔。 連接埠 6970 是透過 HTTP 下載的非安全連接埠。

有關 SIP OAuth 設定的更多詳細資訊,請參閱: SIP OAuth 模式

DNS 需求

Cisco 會針對每個地區的專用實例提供下列格式的服務 FQDN:<customer>.<region>.wxc-di.webex.com,例如 xyz.amer.wxc-di.webex.com

管理員會在「首次安裝精靈」(FTSW) 中提供「客戶」值。 如需詳細資訊,請參閱專用實例服務啟用

此 FQDN 的 DNS 記錄需根據客戶的內部 DNS 伺服器來解析,才能支援與專用實例連線的內部部署裝置。 為了方便解析起見,客戶需要在指向專用實例 DNS 服務的 DNS 伺服器上,設定此 FQDN 的條件式轉寄站。 專用實例 DNS 服務是區域服務,此連線會使用下表中提及的下列 IP 位址,透過對等連線與專用實例連線:專用實例 DNS 服務 IP 位址

表 5. 專用實例 DNS 服務 IP 位址

地區/DC

專用實例 DNS 服務 IP 位址

條件式轉寄範例

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

亞太地區(APJC)

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SIN

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


基於安全原因,上述 DNS 伺服器 IP 位址停用 ping 選項。

條件式轉寄需可使用,裝置才能透過對等連結從客戶內部網路向專用實例註冊。 透過 Mobile and Remote Access (MRA) 註冊並不需要條件式轉寄,因為 Cisco 會預先佈建 MRA 所需的外部 DNS 記錄。

使用 Webex 應用程式作為專用實例上的通話軟體用戶端時,需在 Control Hub 中針對每個地區的語音服務網域 (VSD) 來設定 UC Manager 設定檔。 如需詳細資訊,請參閱 Cisco Webex Control Hub 中的 UC Manager 設定檔。 Webex 應用程式能夠自動解析客戶的 Expressway Edge,無需終端使用者介入。


服務啟用完成後,會將語音服務網域列在合作夥伴存取文件中提供給客戶。