專用實例的網路需求

Webex Calling專用實例是Cisco Cloud Calling 產品組合的一部分,由Cisco Unified Communications Manager (Cisco Unified CM) 協作技術提供支援。 專用實例提供語音、視訊、傳訊和行動化解決方案,兼具Cisco IP電話、行動裝置和桌面用戶端的功能與優點,可安全連線至專用實例。

本文適用於網路管理員,尤其是想要在其組織中使用專用實例的防火牆和 Proxy 安全管理員。

安全性概觀: 層中的安全性

專用實例使用分層的安全性方法。 層包括:

  • 實際存取

  • 網路

  • 端點

  • UC 應用程式

下列章節描述了 中的安全性層級專用實例部署。

實體安全性

為 Equinix 即時會議室位置和Cisco提供實體安全性非常重要專用實例資料中心設施。 當實體安全性受到威脅時,可以發起簡單的攻擊,例如透過關閉客戶交換器的電源來中斷服務。 透過實體存取,攻擊者可以取得伺服器裝置的存取權、重設密碼,並獲得對交換器的存取權。 實體存取也會助長更複雜的攻擊,例如中間人攻擊,這就是第二個安全層(網路安全性)至關重要的原因。

自我加密磁碟機用於專用實例託管 UC 應用程式的資料中心。

有關一般安全性做法的更多資訊,請參閱位於以下位置的文件: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html

網路安全

合作夥伴需要確保所有網路元素都在專用實例基礎架構(透過 Equinix 連接)。 合作夥伴有責任確保安全最佳作法,例如:

  • 用於語音和資料的獨立VLAN

  • 啟用連接埠安全性,限制每個連接埠允許的MAC位址數量,以防止 CAM 表格氾濫

  • IP來源防護以對抗欺騙IP位址

  • 動態 ARP 檢查 (DAI) 會檢查位址解析通訊協定 (ARP) 和免費 ARP (GARP) 是否有違例(針對 ARP 欺騙)

  • 802。1x限製網路存取以在已指定 VLAN 上驗證裝置(電話確實支援 802。1x )

  • 服務品質 (QoS) 的配置,以適當地標記語音封包

  • 用於封鎖任何其他流量的防火牆埠設定

端點安全性

Cisco端點支援預設安全性功能,例如簽署的韌體、安全啟動(選取的機型)、製造商安裝的憑證 (MIC) 和簽署的組態檔案,可為端點提供一定級別的安全性。

此外,合作夥伴或客戶還可以啟用其他安全性,例如:

  • 為Extension Mobility等服務加密IP 電話服務(透過 HTTPS)

  • 從憑證授權單位代理功能(CAPF) 或公共憑證授權單位 (CA) 核發本地重要憑證 (LSC)

  • 加密組態檔

  • 加密媒體和訊號

  • 如果不使用這些設定,請停用這些設定: PC 連接埠, PC語音VLAN存取, 免費 ARP, 網路存取, 設定按鈕, SSH, 主控台

在中實作安全性機制專用實例防止電話和Unified CM 伺服器的身分失竊、資料篡改以及通話訊號/媒體串流篡改。

專用實例透過網路:

  • 建立並維護經過驗證的通訊串流

  • 在將檔案傳送至電話之前,先對檔案進行數位簽署

  • 加密Cisco Unified IP電話之間的媒體串流和通話訊號

預設安全性設定

安全性 預設為Cisco Unified IP電話提供下列自動安全性功能:

  • 簽署電話組態檔

  • 支援電話組態檔加密

  • HTTPS 與 Tomcat 和其他網路服務 (MIDlet)

對於Unified CM 8.0 版更高的版本,預設情況下提供這些安全性功能,而不會執行憑證信任清單 (CTL) 用戶端。

信任驗證服務

由於網路中有大量電話,而IP電話的記憶體有限, Cisco Unified CM透過信任驗證服務 (TVS) 充當遠端信任儲存區,因此不必在每部電話上放置憑證信任儲存區。 Cisco IP電話會聯絡TVS伺服器進行驗證,因為它們無法透過CTL或 ITL 檔案驗證簽章或憑證。 擁有中央信任儲存區比在每部Cisco Unified IP 電話上擁有信任儲存區更容易管理。

TVS可讓Cisco Unified IP電話在建立 HTTPS 期間驗證應用程式伺服器,例如EM服務、目錄和 MIDlet。

初始信任清單

初始信任清單 (ITL) 檔案用於初始安全性,因此端點可以信任Cisco Unified CM。 ITL 不需要明確啟用任何安全性功能。 ITL 檔案是在安裝叢集時自動建立。 Unified CM簡單檔案傳輸通訊協定 (TFTP) 伺服器的私密金鑰用於簽署 ITL 檔案。

當Cisco Unified CM叢集或伺服器處於非安全模式時,ITL 檔案會下載到每部受支援的Cisco IP 電話上。 合作夥伴可使用CLI 指令admin:show itl 檢視 ITL 檔案的內容。

Cisco IP電話需要 ITL 檔案來執行以下工作:

  • 安全地與CAPF通訊,這是支援組態檔加密的先決條件

  • 驗證組態檔簽章

  • 在使用TVS建立 HTTPS 期間,驗證應用程式伺服器,例如EM服務、目錄和 MIDlet

Cisco CTL

裝置、檔案和訊號驗證依賴於建立憑證信任清單 (CTL) 檔案,該檔案是在合作夥伴或客戶安裝和設定Cisco憑證信任清單用戶端時建立。

CTL 檔案包含下列伺服器或安全性權杖的項目:

  • 系統管理員安全性權杖 (SAST)

  • 在同一伺服器上執行的Cisco CallManager和Cisco TFTP服務

  • 憑證授權單位Proxy 功能 (CAPF)

  • TFTP伺服器

  • ASA 防火牆

CTL 檔案包含每部伺服器的伺服器憑證、公鑰、序號、簽名、發行者名稱、主體名稱、伺服器功能、 DNS名稱及IP 位址。

CTL的電話安全性提供以下功能:

  • 使用簽署金鑰對TFTP下載的檔案(組態、地區設定、響鈴清單等)進行驗證

  • 使用簽署金鑰加密TFTP組態檔

  • IP電話的加密通話訊號

  • IP電話的加密通話音訊(媒體)

Cisco IP電話的安全性(在 中)專用實例

專用實例提供端點註冊和通話處理。 Cisco Unified CM與端點之間的訊號基於安全瘦小用戶端控制通訊協定(SCCP) 或作業階段啟始通訊協定 (SIP) ,並且可以使用傳輸層安全性性 (TLS) 進行加密。 進出端點的媒體基於即時傳輸協議 (RTP),也可使用安全RTP (SRTP) 進行加密。

在Unified CM上啟用混合模式可加密進出Cisco端點的訊號和媒體流量。

保護 UC 應用程式

在 中啟用混合模式專用實例

預設為啟用混合模式,專用實例。

在 中啟用混合模式專用實例能夠執行進出Cisco端點的訊號和媒體流量的加密。

在Cisco Unified CM 12.5(1) 版中,為 Jabber 和Webex用戶端新增了一個新選項,用於根據SIP OAuth 而非混合模式/ CTL來啟用訊號和媒體加密。 因此,在Unified CM版本 12.5(1) 中, SIP OAuth 和SRTP可用於為 Jabber 或Webex用戶端的訊號和媒體啟用加密。 目前, Cisco IP電話和其他Cisco端點仍然需要啟用混合模式。 計劃在未來的發行版中在 7800/8800 端點中新增對SIP OAuth 的支援。

語音留言安全性

Cisco Unity Connection會透過TLS埠連接到Unified CM 。 當裝置安全性模式為不安全時, Cisco Unity Connection會透過SCCP埠連接到Unified CM 。

若要為Unified CM語音留言埠和執行SCCP的 Cisco Cisco Unity裝置或執行SCCP的Cisco Unity Connection裝置設定安全性,合作夥伴可以為連接埠選擇安全的裝置安全性模式。 如果您選擇經過驗證的語音信箱連接埠,將會開啟TLS連線,並使用相互憑證交換來驗證裝置(每個裝置都接受另一裝置的憑證)。 如果您選擇加密的語音信箱連接埠,系統會首先驗證裝置,然後在裝置之間傳送加密的語音串流。

有關安全性語音留言連接埠的更多資訊,請參閱: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

SRST、trunk、閘道、CUBE/SBC 的安全性

如果Cisco SRST Cisco Unified CM位於專用實例無法完成通話。

安全的啟用SRST的閘道包含一個自我簽署憑證。 合作夥伴在Unified CM 管理中執行SRST任務後, Unified CM會使用TLS連線,透過具 SRST 功能的閘道中的憑證提供者服務進行驗證。 Unified CM隨後會從具 SRST 功能的閘道道中擷取憑證,並將憑證新增至Unified CM資料庫。

合作夥伴在Unified CM 管理中重設依賴裝置後, TFTP伺服器會將具 SRST 功能的閘道道憑證新增至電話 cnf.xml 檔案,並將檔案傳送至電話。 然後,安全電話會使用TLS連線與具 SRST 功能的閘道互動。

建議從Cisco Unified CM到閘道的通話使用安全乾線,以用於輸出 PSTN 通話或遍訪Cisco Unified Border Element (CUBE)。

SIP trunk可以支援訊號和媒體的安全通話。 TLS提供訊號加密,而SRTP提供媒體加密。

保護Cisco Unified CM與 CUBE 之間的通訊

為了Cisco Unified CM與 CUBE 之間的安全通訊,合作夥伴/客戶需要使用自我簽署憑證或 CA 簽署憑證。

對於自我簽署憑證:

  1. CUBE 和Cisco Unified CM生成自我簽署憑證

  2. CUBE 將憑證匯出至Cisco Unified CM

  3. Cisco Unified CM將憑證匯出至 CUBE

對於 CA 簽署的憑證:

  1. 用戶端產生金鑰配對,並將憑證簽署請求 (CSR) 傳送至憑證授權單位(CA)

  2. CA 使用其私密金鑰對其進行簽署,從而建立身分憑證

  3. 用戶端安裝受信任的 CA 根與中間憑證清單以及身分憑證

遠端端點的安全性

有了 Mobile and Remote Access (MRA) 端點,MRA 端點與 Expressway 節點之間的訊號和媒體一律加密。 如果 MRA 端點使用互動連線建立 (ICE) 協定,則需要對 MRA 端點進行訊號和媒體加密。 但是,Expressway-C 與內部Unified CM伺服器、內部端點或其他內部裝置之間的訊號和媒體加密需要混合模式或SIP OAuth。

Cisco Expressway為Unified CM註冊提供安全防火牆遍訪和線路端支援。 Unified CM為行動端點和內部部署端點提供通話控制。 訊號會在遠端端點與Unified CM之間遍歷 Expressway 解決方案。 媒體會遍歷 Expressway 解決方案,並直接在端點之間中繼。 Expressway-C 與行動端點之間的所有媒體都會加密。

任何 MRA 解決方案都需要 Expressway 和Unified CM,以及 MRA 相容的軟體用戶端和/或固定端點。 解決方案可以選擇性地包括IM and 狀態服務和Unity Connection。

通訊協定摘要

下表顯示Unified CM解決方案中使用的通訊協定及相關服務。

表 1. 通訊協定及相關服務

通訊協定

安全性

服務

SIP

TLS

階段作業建立: 註冊、邀請等

HTTPS

TLS

登入、佈建/設定、目錄、視覺語音郵件

媒體

SRTP

媒體: 音訊、視訊、內容共用

XMPP

TLS

即時傳訊, 線上狀態, 同盟

如需 MRA 設定的相關資訊,請參閱: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

設定選項

的專用實例透過完全控制第二天的設定,為合作夥伴提供為最終使用者自訂服務的靈活性。 因此,合作夥伴需全權負責正確設定專用實例終端使用者環境的服務。 這包括但不限於:

  • 選擇安全/不安全通話、安全/不安全通訊協定(例如SIP/sSIP、http/https 等),並了解任何相關風險。

  • 對於所有未設定為安全的MAC位址 - SIP中專用實例,攻擊者就可以使用該MAC 位址傳送SIP註冊訊息,並能夠進行SIP呼叫,從而導致收費欺詐。 額外的好處是攻擊者可以將其SIP 裝置/ 軟體註冊到專用實例如果他們知道在 中註冊的裝置的MAC 位址,則可以在未經授權的情況下專用實例。

  • Expressway-E 通話策略、轉換和搜尋規則應設定為防止收費欺詐。 有關使用 Expressway 防止付費欺詐的相關資訊,請參閱 Expressway C 和 Expressway-E 的安全性部分。協作 SRND

  • 撥號計劃設定,以確保使用者只能撥打允許的目的地,例如禁止國內/國際撥號、正確路由緊急呼叫等。 如需使用撥號計劃套用限制的更多資訊,請參閱撥號計劃協作 SRND 部分。

專用實例中安全連線的憑證需求

對於「專用實例」, Cisco將使用公開的憑證授權單位(CA) 提供 UC 應用程式的網域並簽署所有憑證。

專用實例 – 連接埠號碼和通訊協定

下表描述了專用實例中支援的埠和通訊協定。 用於給定客戶的連接埠取決於客戶的部署和解決方案。 通訊協定取決於客戶的喜好設定(SCCP與SIP)、現有的內部部署裝置以及什麼級別的安全性來確定要在每個部署中使用的連接埠。


 

專用實例不允許端點與Unified CM之間的網路位址轉換 (NAT),因為部分通話流程功能(例如通話中功能)無法正常運作。

專用實例 – 客戶連接埠

可供客戶使用的連接埠 -內部部署客戶與專用實例之間,如表 1 中所示專用實例客戶連接埠。 下面列出的所有連接埠均適用於穿過對等互連鏈結的客戶流量。


 

預設情況下, SNMP埠僅對Cisco Emergency Responder開放以支援其功能。 由於我們不支援合作夥伴或客戶監控部署在專用實例雲端中的 UC 應用程式,因此我們不允許為任何其他 UC 應用程式開放SNMP埠。


 

5063 到 5080 範圍內的連接埠由Cisco保留用於其他雲端整合,建議合作夥伴或客戶管理員不要在其設定中使用這些連接埠。

表格 2. 專用實例客戶連接埠

通訊協定

TCP/UDP

Source

目標

來源連接埠

目的地連接埠

用途

SSH

TCP

用戶端

UC 應用程式


 
不允許用於Cisco Expressway應用程式。

大於 1023

22

管理

TFTP

UDP

端點

Unified CM

大於 1023

69

舊版端點支援

LDAP

TCP

UC 應用程式

外部目錄

大於 1023

389

目錄同步至客戶LDAP

HTTPS

TCP

瀏覽器

UC 應用程式

大於 1023

443

對自助服務和管理介面進行網路存取

輸出郵件(安全)

TCP

UC 應用程式

CUCxn

大於 1023

587

用於撰寫安全訊息並將其傳送給任何指定的接收者

LDAP (安全)

TCP

UC 應用程式

外部目錄

大於 1023

636

目錄同步至客戶LDAP

H323

TCP

閘道

Unified CM

大於 1023

1720

呼叫訊號

H323

TCP

Unified CM

Unified CM

大於 1023

1720

呼叫訊號

SCCP

TCP

端點

Unified CM, CUCxn

大於 1023

2000

呼叫訊號

SCCP

TCP

Unified CM

Unified CM, 閘道

大於 1023

2000

呼叫訊號

MGCP

UDP

閘道

閘道

大於 1023

2427

呼叫訊號

MGCP回程

TCP

閘道

Unified CM

大於 1023

2428

呼叫訊號

SCCP (安全)

TCP

端點

Unified CM, CUCxn

大於 1023

2443

呼叫訊號

SCCP (安全)

TCP

Unified CM

Unified CM, 閘道

大於 1023

2443

呼叫訊號

信任驗證

TCP

端點

Unified CM

大於 1023

2445

向端點提供信任驗證服務

CTI

TCP

端點

Unified CM

大於 1023

2748

CTI應用程式 (JTAPI/TSP) 與 CTIManager 之間的連線

安全CTI

TCP

端點

Unified CM

大於 1023

2749

CTI應用程式 (JTAPI/TSP) 與 CTIManager 之間的安全連線

LDAP全域目錄

TCP

UC 應用程式

外部目錄

大於 1023

3268

目錄同步至客戶LDAP

LDAP全域目錄

TCP

UC 應用程式

外部目錄

大於 1023

3269

目錄同步至客戶LDAP

CAPF服務

TCP

端點

Unified CM

大於 1023

3804

憑證授權單位Proxy 功能 (CAPF ) 接聽埠,用於向IP電話核發本地重要憑證 ( LSC )

SIP

TCP

端點

Unified CM, CUCxn

大於 1023

5060

呼叫訊號

SIP

TCP

Unified CM

Unified CM, 閘道

大於 1023

5060

呼叫訊號

SIP (安全)

TCP

端點

Unified CM

大於 1023

5061

呼叫訊號

SIP (安全)

TCP

Unified CM

Unified CM, 閘道

大於 1023

5061

呼叫訊號

SIP (OAUTH)

TCP

端點

Unified CM

大於 1023

5090

呼叫訊號

XMPP

TCP

Jabber 用戶端

Cisco IM&P

大於 1023

5222

即時傳訊和線上狀態

HTTP

TCP

端點

Unified CM

大於 1023

6970

將組態和映像下載至端點

HTTPS

TCP

端點

Unified CM

大於 1023

6971

將組態和映像下載至端點

HTTPS

TCP

端點

Unified CM

大於 1023

6972

將組態和映像下載至端點

HTTP

TCP

Jabber 用戶端

CUCxn

大於 1023

7080

語音信箱通知

HTTPS

TCP

Jabber 用戶端

CUCxn

大於 1023

7443

保護語音郵件通知

HTTPS

TCP

Unified CM

Unified CM

大於 1023

7501

由叢集間查詢服務(ILS) 用於基於憑證的驗證

HTTPS

TCP

Unified CM

Unified CM

大於 1023

7502

由ILS使用,進行基於密碼的驗證

IMAP

TCP

Jabber 用戶端

CUCxn

大於 1023

7993

透過TLS的 IMAP

HTTP

TCP

端點

Unified CM

大於 1023

8080

舊版端點支援的目錄URI

HTTPS

TCP

瀏覽器, 端點

UC 應用程式

大於 1023

8443

對自助服務和管理介面, UDS的網路存取

HTTPS

TCP

電話

Unified CM

大於 1023

9443

經驗證的聯絡人搜尋

HTTPS

TCP

端點

Unified CM

大於 1023

9444

耳機管理功能

安全的 RTP/ SRTP

UDP

Unified CM

電話

16384 至 32767 *

16384 至 32767 *

媒體(音訊)- 待話期間背景待話期間背景音樂、公告器、軟體 會議橋接器(根據通話訊號開啟)

安全的 RTP/ SRTP

UDP

電話

Unified CM

16384 至 32767 *

16384 至 32767 *

媒體(音訊)- 待話期間背景待話期間背景音樂、公告器、軟體 會議橋接器(根據通話訊號開啟)

眼鏡蛇

TCP

用戶端

CUCxn

大於 1023

20532

備份與還原應用程式套件

ICMP

ICMP

端點

UC 應用程式

不適用

不適用

連線測試

ICMP

ICMP

UC 應用程式

端點

不適用

不適用

連線測試

DNS UDP與TCP

DNS轉送程式

專用實例DNS伺服器

大於 1023

53

客戶內部DNS轉送者至專用實例DNS伺服器。 請參閱DNS需求獲取更多資訊。

* 某些特殊情況可能會使用更大的範圍。

專用實例 – OTT 連接埠

客戶和合作夥伴可使用以下連接埠進行 Mobile and Remote Access (MRA) 設定:

表 3. OTT 連接埠

通訊協定

TCP/UCP

Source

目標

來源連接埠

目的地連接埠

用途

安全的RTP/ RTCP

UDP

Expressway C

用戶端

大於 1023

36000-59999

MRA 和 B2B 通話的安全媒體

多租戶與專用實例之間的互通性SIP trunk (僅適用於基於註冊的 trunk)

對於在多租戶和專用實例之間進行基於註冊的SIP trunk連線,客戶的防火牆需要允許以下連接埠清單。

表 4. 註冊型 trunk 的埠

通訊協定

TCP/UCP

Source

目標

來源連接埠

目的地連接埠

用途

RTP/ RTCP

UDP

Webex Calling多租戶

用戶端

大於 1023

8000-48198

Webex Calling多租戶中的媒體

專用實例 – UCCX 連接埠

客戶和合作夥伴可以使用以下連接埠清單來配置 UCCX。

表 5. Cisco UCCX 連接埠

通訊協定

TCP / UCP

Source

目標

來源連接埠

目的地連接埠

用途

SSH

TCP

用戶端

UCCX

大於 1023

22

SFTP和 SSH

Informix

TCP

用戶端或伺服器

UCCX

大於 1023

1504

Contact Center Express 資料庫連接埠

SIP

UDP與TCP

SIP GW 或 MCRP 伺服器

UCCX

大於 1023

5065

與遠端 GW 和 MCRP 節點的通訊

XMPP

TCP

用戶端

UCCX

大於 1023

5223

Finesse 伺服器與自訂第三方應用程式之間的安全XMPP連線

CVD

TCP

用戶端

UCCX

大於 1023

6999

編輯器至 CCX 應用程式

HTTPS

TCP

用戶端

UCCX

大於 1023

7443

Finesse 伺服器與客服和主管桌面版應用程式之間的安全 BOSH 連線,透過 HTTPS 進行通訊

HTTP

TCP

用戶端

UCCX

大於 1023

8080

即時資料報告用戶端連線至 socket.IO 伺服器

HTTP

TCP

用戶端

UCCX

大於 1023

8081

嘗試存取Cisco Unified Intelligence Center Web 介面的用戶端瀏覽器

HTTP

TCP

用戶端

UCCX

大於 1023

8443

管理GUI, RTCP, 透過SOAP進行資料庫存取

HTTPS

TCP

用戶端

UCCX

大於 1023

8444

Cisco Unified Intelligence CenterWeb 介面

HTTPS

TCP

瀏覽器和 REST 用戶端

UCCX

大於 1023

8445

Finesse 的安全連接埠

HTTPS

TCP

用戶端

UCCX

大於 1023

8447

HTTPS - Unified Intelligence Center 線上說明

HTTPS

TCP

用戶端

UCCX

大於 1023

8553

單一登入 (SSO) 元件會存取此介面,以了解Cisco IdS 的作業狀態。

HTTP

TCP

用戶端

UCCX

大於 1023

9080

用戶端嘗試存取 HTTP 觸發器或文件/提示/語法/即時資料。

HTTPS

TCP

用戶端

UCCX

大於 1023

9443

用於回應用戶端嘗試存取 HTTPS 的安全埠

TCP

TCP

用戶端

UCCX

大於 1023

12014

這是即時資料報告用戶端可連線至 socket.IO 伺服器的埠。

TCP

TCP

用戶端

UCCX

大於 1023

12015

這是即時資料報告用戶端可連線至 socket.IO 伺服器的埠。

CTI

TCP

用戶端

UCCX

大於 1023

12028

第三方CTI用戶端至 CCX

RTP(媒體)

TCP

端點

UCCX

大於 1023

大於 1023

視需要動態開啟媒體埠

RTP(媒體)

TCP

用戶端

端點

大於 1023

大於 1023

視需要動態開啟媒體埠

用戶端安全性

使用SIP OAuth 保護 Jabber 和Webex

Jabber 和Webex用戶端是透過 OAuth 權杖而不是本地重要憑證(LSC) 進行驗證,這不需要啟用憑證授權單位代理功能(CAPF)(也適用於 MRA)。 在Cisco Unified CM 12.5(1)、Jabber 12.5 和 Expressway X12.5 中引入了使用或不使用混合模式的SIP OAuth。

在Cisco Unified CM 12.5 中,我們在電話安全性設定檔中有一個新選項,該選項可在不使用LSC/ CAPF的情況下啟用加密,使用單一傳輸層安全性性 (TLS) + OAuth 權杖 (在SIP註冊中)。 Expressway-C 節點使用管理XML 網路服務 (AXL) API來通知Cisco Unified CM其憑證中的 SN/SAN。 在建立雙向TLS連線時, Cisco Unified CM會使用此資訊來驗證 Exp-C 憑證。

SIP OAuth 可在無需端點憑證 (LSC) 的情況下啟用媒體和訊號加密。

Cisco Jabber會使用暫時埠和安全連接埠 6971 及 6972,透過 HTTPS 與TFTP伺服器連線來下載設定檔。 連接埠 6970 是透過 HTTP 下載的不安全連接埠。

有關SIP OAuth 設定的更多詳細資訊: SIP OAuth 模式

DNS需求

對於專用實例Cisco在每個地區都使用以下格式提供服務的 FQDN<customer> 。<region> .wxc-di.webex.com譬如, xyz.amer.wxc-di.webex.com

「客戶」值由管理員作為首次設定精靈(FTSW) 的一部分提供。 如需相關資訊,請參閱專用實例服務啟動

此 FQDN 的DNS記錄必須可從客戶的內部DNS 伺服器解析,以支援連線至專用實例的內部部署裝置。 為了促進解析,客戶需要在其指向專用實例DNS服務的DNS 伺服器上為此 FQDN 設定條件轉送器。 專用實例DNS服務是區域性的,且可使用下表中所述的以下IP位址,透過與專用實例的對等互連來存取專用實例DNS服務IP位址。

表 6. 專用實例DNS服務IP位址

區域/DC

專用實例DNS服務IP位址

條件轉送範例

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

朗讀

178.215.138.100

輔助醫療系統

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

輔助醫療系統

178.215.131.228

亞太地區(APJC)

<customer>.apjc.wxc-di.webex.com

SIN

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

梅爾

178.215.128.100

SYD

178.215.128.228


 

由於安全原因,上述DNS 伺服器IP位址會停用 Ping 選項。

在條件轉送到位之前,裝置將無法從客戶內部網路透過對等互連鏈結向專用實例註冊。 透過 Mobile and Remote Access (MRA) 註冊不需要條件轉送,因為Cisco將預先佈建所有協助 MRA 所需的外部DNS記錄。

當使用Webex應用程式作為專用實例上的通話軟體用戶端時,需要在 Control Hub 中為每個地區的語音服務網域 (VSD) 設定 UC Manager 設定檔。 如需相關資訊,請參閱Cisco Webex Control Hub中的 UC Manager 設定檔。 Webex應用程式將能夠自動解析客戶的 Expressway Edge,而無需任何一般使用者乾預。


 

一旦服務啟動完成,語音服務網域將作為合作夥伴存取文件的一部分提供給客戶。