專用實例的網路需求

Webex Calling專用實例是 Cisco Cloud Calling 產品群組的一部分,它由 Cisco Unified Communications Manager (Cisco Unified CM) 協作技術提供。專用實例提供語音、視訊、傳訊及行動化解決方案,其功能與好處包括 Cisco IP 電話、行動裝置及桌面用戶端,這些用戶端可安全地連接至專用實例。

本文適用于網路系統管理員,尤其是想要在其組織中使用專用實例的防火牆和 Proxy 安全性管理員。

安全性概觀:層中的安全性

專用實例 使用層式方法進行安全性。這些層包括:

  • 實體存取

  • 網路

  • 端點

  • UC 應用程式

下列各節說明專用實例部署中的 安全層。

實體安全性

為 Equinix 進會議室位置和 Cisco 專用 例項資料中心設備提供實體安全性很重要。當實體安全性受損時,可以發起簡單的攻擊,例如關閉客戶的交換器電源,以造成服務中斷。有了實體存取,攻擊者可以存取伺服器裝置、重設密碼,以及存取交換器。實體存取還可以協助更複雜的攻擊,例如中間人攻擊,這就是第二層安全性(網路安全)非常重要的原因。

自行加密磁片磁碟機用於託管 UC 應用程式的專用實例 資料中心。

有關一般安全性做法的更多資訊,請參閱位於以下位置的文件:https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html

網路安全

合作夥伴需要確保所有網路 元素在專用實例基礎結構(透過 Equinix 連接)中安全。確保安全性最佳做法(例如:)是合作夥伴的責任:

  • 語音和資料單獨的 VLAN

  • 啟用埠安全性,根據 CAM 表格介面限制每個埠允許的 MAC 位址數

  • 防止欺詐的 IP 位址的 IP 來源保護

  • 動態 ARP 檢查 (SPOOF) 會檢查位址解析通訊協定 (ARP) 和 gratuitous ARP (GARP) 的違規 (針對 ARP 欺詐)

  • 802.1x 將網路存取限制于指定的 VLAN 上驗證裝置(電話支援 802)。1x)

  • 服務品質 (QoS) 的組態,以適當標記語音封包

  • 用於封鎖任何其他流量的防火牆埠組配置

端點安全性

Cisco 端點支援預設安全性功能,例如簽署的固件、安全開機(選取的型號)、製造商安裝的憑證 (MIC) 和簽署的設定檔,這些功能可為端點提供一定的安全性層級。

此外,合作夥伴或客戶可以啟用其他安全性,例如:

  • 加密 IP 電話語音(透過 HTTPS)服務,如內線行動性

  • 從憑證授權單位機構代理功能 (CAPF) 或公開憑證授權單位 (CA) 頒發本地重要證書 (LSC)

  • 加密設定檔

  • 加密媒體和訊號

  • 若未使用這些設定,請停用這些設定:PC 埠, PC 語音 VLAN 存取, Gratuitous ARP, 網路存取, 設定按鈕, SSH, 主控台

在專用例項中 執行安全性機制可防止電話和 Unified CM 伺服器的身份遭到竊取、資料篡改以及通話訊號/媒體串流篡改。

網路專用 實例:

  • 建立與維護已驗證的通訊流

  • 在將檔案傳送至電話之前以數位方式簽署檔案

  • 加密 IP 電話之間的媒體Cisco Unified訊號

預設安全性設定

預設的安全性為 IP 電話提供下列Cisco Unified安全性功能:

  • 簽署電話組配置檔案

  • 支援電話組配置檔案加密

  • HTTPS 與 Tomcat 和其他 Web 服務 (MIDlet)

對於 Unified CM 8.0 版以後,這些安全性功能預設會提供,而不執行憑證信任清單 (CTL) 用戶端。

信任驗證服務

因為網路中存在大量電話,而且 IP 電話具有有限的記憶體,所以 Cisco Unified CM 會透過信任驗證服務 (TVS) 當做遠端信任儲存庫,因此憑證信任存放區無需放在每部電話上。Cisco IP 電話會聯絡 TVS 伺服器進行驗證,因為它們無法透過 CTL 或 ITL 檔案驗證簽章或憑證。與在每個 IP 電話上建立信任儲存庫相較,具有中央信任儲存庫Cisco Unified方便。

TVS 可讓Cisco Unified IP 電話在 HTTPS 建立期間驗證應用程式伺服器,例如 EM 服務、目錄和 MIDlet。

初始信任清單

初始信任清單 (ITL) 檔案用於初始安全性,以便端點可以信任 Cisco Unified CM。ITL 不需要明確啟用任何安全性功能。安裝該集時,會自動建立 ITL 檔案。Unified CM 簡單檔案傳輸協定 (TFTP) 伺服器的私密金鑰用於簽署 ITL 檔案。

當 Cisco Unified CM 集或伺服器為非安全模式時,會下載 ITL 檔案至每個受支援的 Cisco IP Phone。合作夥伴可以使用 CLI 指令 admin:showl 來查看 ITL 檔案的內容。

Cisco IP 電話需要 ITL 檔案才能執行下列工作:

  • 與 CAPF 安全地通訊,CAPF 是支援組設定檔加密的先決條件

  • 驗證設定檔簽章

  • 在使用 TVS 建立 HTTPS 期間驗證應用程式伺服器,例如 EM 服務、目錄和 MIDlet

Cisco CTL

裝置、檔案及訊號驗證依賴于建立憑證信任清單 (CTL) 檔案,此檔案是在合作夥伴或客戶安裝及設定 Cisco 憑證信任清單用戶端時建立。

CTL 檔案包含下列伺服器或安全權杖專案:

  • 系統管理員安全性權杖 (SAST)

  • 在同一伺服器上執行 Cisco CallManager 與 Cisco TFTP 服務

  • 憑證授權單位機構代理功能 (CAPF)

  • TFTP 伺服器

  • ASA 防火牆

CTL 檔案包含每個伺服器的伺服器憑證、公開金鑰、序號、簽章、簽發者名稱、主體名稱、伺服器功能、DNS 名稱和 IP 位址。

CTL 的電話安全性提供下列功能:

  • 使用簽署金鑰驗證 TFTP 下載的檔案(組、地區、響鈴清單等)

  • 使用簽署金鑰加密 TFTP 設定檔

  • IP 電話的加密通話訊號

  • IP 電話的加密通話音訊(媒體)

專用實例中Cisco IP電話的安全性

專用實例 提供端點註冊和通話處理。Cisco Unified CM 與端點之間的訊號是以安全瘦小用戶端控制通訊協定 (SCCP) 或 階段作業起始通訊協定 (SIP) 為基礎,而且可以使用傳輸層安全性 (TLS) 加密。媒體從端點傳送/傳送給端點基於即時傳輸通訊協定 (RTP),並且也可以使用安全 RTP (SRTP) 加密。

在 Unified CM 上啟用混合模式可加密來自 Cisco 端點及至 Cisco 端點的訊號和媒體流量。

保護 UC 應用程式

在專用實例中啟用混合模式

專用實例中預設為啟用混合模式。

在專用例項中啟用 混合模式可啟用從 Cisco 端點到 Cisco 端點之間的訊號和媒體流量加密的能力。

在 Cisco Unified CM 12.5(1) 版中,針對 Jabber 和 Webex 用戶端新增了基於 SIP OAuth 而非混合模式 /CTL 的訊號和媒體加密的新選項。因此,在 Unified CM 12.5(1) 版中,SIP OAuth 和 SRTP 可用於對 Jabber 或 Webex 用戶端的訊號和媒體啟用加密。目前,Cisco IP 電話及其他 Cisco 端點會繼續要求啟用混合模式。計畫在未來發行版本中為 7800/8800 端點新增對 SIP OAuth 的支援。

語音留言安全性

Cisco Unity Connection TLS 埠連接至 Unified CM。當裝置安全性模式不安全時,Cisco Unity Connection SCCP 埠連接至 Unified CM。

若要為執行 SCCP 或 Cisco Unity Connection 裝置且執行 SCCP 的 Unified CM 語音留言埠及 Cisco Unity 裝置設定安全性,合作夥伴可以為此埠選擇安全裝置安全性模式。如果您選擇已驗證的語音信箱埠,TLS 連接會開啟,此連接會使用共同憑證交換來驗證裝置(每個裝置接受其他裝置憑證)。如果您選擇加密的語音信箱埠,系統會先驗證裝置,然後在裝置之間傳送加密的語音資料流程。

有關安全性語音留言埠的資訊,請參閱: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

SRST、中繼線、閘道、CUBE/SBC 的安全性

如果Cisco Unified實例上的 Cisco Unified CM 無法完成通話,則啟用 Survivable Remote Site Telephony (SRST) 的閘道提供有限的通話處理任務。

啟用 SRST 的安全閘道包含自我簽署憑證。合作夥伴在 Unified CM 管理中執行 SRST 組配置工作後,Unified CM 會使用 TLS 連接來向啟用 SRST 的閘道中的憑證提供者服務驗證。Unified CM 隨後會從啟用 SRST 的閘道檢索憑證,並將憑證新增到 Unified CM 資料庫。

在合作夥伴在 Unified CM 管理中重設相關裝置後,TFTP 伺服器會將啟用 SRST 的閘道憑證新增加至電話 cnf.xml 檔案,並將檔案傳送至電話。然後,安全電話使用 TLS 連接與啟用 SRST 的閘道互動。

對於從 Cisco Unified CM 發話至出站 PSTN 通話或穿越 Cisco Unified Border Element (CUBE) 的閘道,建議使用安全中繼線。

SIP 中繼線可以同時支援訊號及媒體的安全通話;TLS 提供訊號加密,SRTP 提供媒體加密。

保護Cisco Unified CM與 CUBE 之間的通訊

為了在 Cisco Unified CM 和 CUBE 之間實現安全通訊,合作夥伴/客戶需要使用自我簽署憑證或 CA 簽署的憑證。

對於自我簽署憑證:

  1. CUBE 和 Cisco Unified CM 會產生自我簽署憑證

  2. CUBE 匯出憑證至 Cisco Unified CM

  3. Cisco Unified CM 匯出憑證至 CUBE

對於 CA 簽署的憑證:

  1. 用戶端產生金鑰組並將憑證簽署請求 (CSR) 傳送給憑證授權單位機構 (CA)

  2. CA 使用私密金鑰來簽署它,建立身分憑證

  3. 用戶端會安裝信任的 CA 根憑證與多彩憑證及身分憑證清單

遠端端點的安全性

有了 Mobile and Remote Access (MRA) 端點,則訊號和媒體總是會加密 MRA 端點與Expressway節點。如果 MRA 端點使用建立互動式連接 (ICE) 通訊協定,則 MRA 端點的訊號和媒體加密是必需的。但是,在 Expressway-C 與內部 Unified CM 伺服器、內部端點或其他內部裝置之間的訊號和媒體加密需要混合模式或 SIP OAuth。

Cisco Expressway為 Unified CM 註冊提供安全的防火牆穿越和線路端支援。Unified CM 為行動和內部部署端點提供通話控制。訊號會Expressway端點與 Unified CM 之間的特定解決方案。媒體會經過Expressway解決方案,並且直接在端點之間轉遞。所有媒體在 Expressway C 與行動端點之間加密。

任何 MRA 解決方案Expressway具有 MRA 相容的軟體用戶端和/或固定端點的 Expressway 和 Unified CM。解決方案可以選擇包括 IM and Presence 服務及 Unity Connection。

通訊協定摘要

下表顯示 Unified CM 解決方案中使用的通訊協定及關聯服務。

表格 1. 通訊協定及相關聯的服務

通訊協定

安全性

服務

SIP

TLS

課程建立:註冊、邀請等

HTTPS

TLS

登入、供應/配置、目錄、視覺化語音信箱

媒體

SRTP

媒體:音訊、視視、內容共用

Xmpp

TLS

即時消息, 線上狀態, 聯盟

有關 MRA 組配置的資訊,請參閱: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

設定選項

專用 例 項為合作夥伴提供了靈活性,可透過完全控制第二天配置來自訂一些服務給一些使用者。因此,合作夥伴將自行負責 為最終使用者環境正確配置專用例項服務。這包括(但不限於):

  • 選擇安全/不安全通話、安全/不安全的通訊協定(例如 SIP/sSIP、HTTP/HTTPs 等)以及瞭解任何關聯的風險。

  • 對於專用實例中未配置為安全 SIP 的所有 MAC 位址,攻擊者可以使用該 MAC 位址傳送 SIP 註冊訊息,並能夠撥打 SIP 通話,從而導致收費詐騙。最晞尰 尰坘癰屆癰癲癳癳癶癲癶

  • Expressway E 通話策略中,應該配置轉換和搜尋規則以防止收費欺詐。有關使用 Expressway 防止收費欺詐的資訊,請參閱 Collaboration SRND Expressway C 和 Expressway-E 版的安全性部分

  • 撥號計劃設定,以確保使用者只能撥打允許的目的地,例如,禁止國內/國際撥號、緊急呼叫被正確路由等。有關使用撥號計劃套用限制的更多資訊,請參閱撥號計劃 協作 SRND 部分。

專用實例中安全連線的憑證需求

對於專用實例,Cisco 將提供網域,並且使用公用憑證授權單位機構 (CA) 來簽署 UC 應用程式的所有憑證。

專用實例 – 連接埠號碼和通訊協定

下表說明專用實例中支援的埠和通訊協定。用於給定客戶的埠取決於客戶的部署和解決方案。通訊協定取決於客戶的喜好設定(SCCP與SIP)、現有的內部部署裝置以及什麼級別的安全性來確定要在每個部署中使用的連接埠。

專用實例不允許端點與Unified CM之間的網路位址轉換 (NAT),因為部分通話流程功能(例如通話中功能)無法正常運作。

專用實例 – 用戶端口

可供客戶使用 (客戶內部部署與專用實例之間的埠)顯示在表 1 專用實例用戶端口中。下面列出的所有埠都用於客戶流量穿越對等連結。

預設情況下, SNMP埠僅對Cisco Emergency Responder開放以支援其功能。由於我們不支援合作夥伴或客戶監控部署在專用實例雲端中的 UC 應用程式,因此我們不允許為任何其他 UC 應用程式開放SNMP埠。

5063 到 5080 範圍內的連接埠由Cisco保留用於其他雲端整合,建議合作夥伴或客戶管理員不要在其設定中使用這些連接埠。

表 2. 專用實例客戶連接埠

通訊協定

TCP/UDP

來源

目標

來源連接埠

目的地連接埠

用途

Ssh

TCP

用戶端

UC 應用程式

不允許用於Cisco Expressway應用程式。

大於 1023

22

管理

TFTP

UDP

端點

Unified CM

大於 1023

69

舊版端點支援

LDAP

TCP

UC 應用程式

外部目錄

大於 1023

389

目錄同步至客戶 LDAP

HTTPS

TCP

瀏覽器

UC 應用程式

大於 1023

443

自助和管理介面的網路存取

外發郵件 (SECURE)

TCP

UC 應用程式

CUCxn

大於 1023

587

用於撰寫安全訊息並將其傳送給任何指定的收件者

LDAP(安全)

TCP

UC 應用程式

外部目錄

大於 1023

636

目錄同步至客戶 LDAP

H323

TCP

閘道

Unified CM

大於 1023

1720

通話訊號

H323

TCP

Unified CM

Unified CM

大於 1023

1720

通話訊號

SCCP

TCP

端點

Unified CM、CUCxn

大於 1023

2000

通話訊號

SCCP

TCP

Unified CM

Unified CM,閘道

大於 1023

2000

通話訊號

MGCP

UDP

閘道

閘道

大於 1023

2427

通話訊號

MGCP回程

TCP

閘道

Unified CM

大於 1023

2428

通話訊號

SCCP(安全)

TCP

端點

Unified CM、CUCxn

大於 1023

2443

通話訊號

SCCP(安全)

TCP

Unified CM

Unified CM,閘道

大於 1023

2443

通話訊號

信任驗證

TCP

端點

Unified CM

大於 1023

2445

為端點提供信任驗證服務

CTI

TCP

端點

Unified CM

大於 1023

2748

CTI 應用程式 (JTAPI/TSP) 與 CTIManager 之間的連接

安全 CTI

TCP

端點

Unified CM

大於 1023

2749

CTI 應用程式 (JTAPI/TSP) 與 CTIManager 之間的安全連線

LDAP 全域編目

TCP

UC 應用程式

外部目錄

大於 1023

3268

目錄同步至客戶 LDAP

LDAP 全域編目

TCP

UC 應用程式

外部目錄

大於 1023

3269

目錄同步至客戶 LDAP

CAPF 服務

TCP

端點

Unified CM

大於 1023

3804

憑證授權單位機構代理功能 (CAPF) 聽取埠,以向 IP 電話發出本地重要憑證 (LSC)

SIP

TCP

端點

Unified CM、CUCxn

大於 1023

5060

通話訊號

SIP

TCP

Unified CM

Unified CM,閘道

大於 1023

5060

通話訊號

SIP(安全)

TCP

端點

Unified CM

大於 1023

5061

通話訊號

SIP(安全)

TCP

Unified CM

Unified CM,閘道

大於 1023

5061

通話訊號

SIP (OAUTH)

TCP

端點

Unified CM

大於 1023

5090

通話訊號

Xmpp

TCP

Jabber 用戶端

Cisco IM&P

大於 1023

5222

即時消息與狀態

HTTP

TCP

端點

Unified CM

大於 1023

6970

將組配置和影像下載至端點

HTTPS

TCP

端點

Unified CM

大於 1023

6971

將組配置和影像下載至端點

HTTPS

TCP

端點

Unified CM

大於 1023

6972

將組配置和影像下載至端點

HTTP

TCP

Jabber 用戶端

CUCxn

大於 1023

7080

語音信箱通知

HTTPS

TCP

Jabber 用戶端

CUCxn

大於 1023

7443

安全語音信箱通知

HTTPS

TCP

Unified CM

Unified CM

大於 1023

7501

叢叢間查找服務 (ILS) 用於憑證型驗證

HTTPS

TCP

Unified CM

Unified CM

大於 1023

7502

ILS 用於密碼驗證

Imap

TCP

Jabber 用戶端

CUCxn

大於 1023

7993

IMAP over TLS

HTTP

TCP

端點

Unified CM

大於 1023

8080

舊版端點支援的目錄URI

HTTPS

TCP

瀏覽器,端點

UC 應用程式

大於 1023

8443

自助和管理介面、UDS 的網路存取

HTTPS

TCP

電話

Unified CM

大於 1023

9443

經過驗證的聯絡人搜尋

HTTPS

TCP

端點

Unified CM

大於 1023

9444

耳機管理功能

安全 RTP/SRTP

UDP

Unified CM

電話

16384 至 32767 *

16384 至 32767 *

媒體(音訊)- 等候音樂、訊號器、軟體會議橋接器(基於通話訊號開啟)

安全 RTP/SRTP

UDP

電話

Unified CM

16384 至 32767 *

16384 至 32767 *

媒體(音訊)- 等候音樂、訊號器、軟體會議橋接器(基於通話訊號開啟)

眼鏡蛇

TCP

用戶端

CUCxn

大於 1023

20532

備份與還原應用程式套件

Icmp

Icmp

端點

UC 應用程式

不適用

不適用

連線測試

Icmp

Icmp

UC 應用程式

端點

不適用

不適用

連線測試

DNS UDP 和 TCP

DNS轉送程式

專用實例DNS伺服器

大於 1023

53

客戶內部DNS轉送者至專用實例DNS伺服器。請參閱DNS需求 獲取更多資訊。

* 某些特殊案例可以使用更大的範圍。

專用實例 – OTT 連接埠

客戶和合作夥伴可使用以下連接埠進行 Mobile and Remote Access (MRA) 設定:

表格 3. OTT 連接埠

通訊協定

TCP/UCP

來源

目標

來源連接埠

目的地連接埠

用途

安全 RTP/RTCP

UDP

Expressway C

用戶端

大於 1023

36000-59999

MRA 及 B2B 通話的安全媒體

多租戶與專用實例之間的互通性SIP trunk (僅適用於基於註冊的 trunk)

對於在多租戶和專用實例之間進行基於註冊的SIP trunk連線,客戶的防火牆需要允許以下連接埠清單。

表 4. 註冊型 trunk 的埠

通訊協定

TCP/UCP

來源

目標

來源連接埠

目的地連接埠

用途

RTP/ RTCP

UDP

Webex Calling多租戶

用戶端

大於 1023

8000-48198

Webex Calling多租戶中的媒體

專用實例 – UCCX 連接埠

客戶和合作夥伴可以使用下列埠清單來配置 UCCX。

表 5. Cisco UCCX 埠

通訊協定

TCP / UCP

來源

目標

來源連接埠

目的地連接埠

用途

Ssh

TCP

用戶端

UCCX

大於 1023

22

SFTP 與 SSH

Informix

TCP

用戶端或伺服器

UCCX

大於 1023

1504

Contact Center Express 資料庫連接埠

SIP

UDP 和 TCP

SIP GW 或 MCRP 伺服器

UCCX

大於 1023

5065

與遠端 GW 和 MCRP 節點通訊

Xmpp

TCP

用戶端

UCCX

大於 1023

5223

Finesse 伺服器與自訂協力廠商應用程式之間的安全 XMPP 連接

Cvd

TCP

用戶端

UCCX

大於 1023

6999

CCX 應用程式的編輯器

HTTPS

TCP

用戶端

UCCX

大於 1023

7443

Finesse 伺服器與代理與監督員桌面之間的安全 BOSH 連接,用於 HTTPS 通訊

HTTP

TCP

用戶端

UCCX

大於 1023

8080

即時資料報告用戶端連線至 socket.IO 伺服器

HTTP

TCP

用戶端

UCCX

大於 1023

8081

用戶端瀏覽器嘗試存取 Cisco Unified Intelligence Center Web 介面

HTTP

TCP

用戶端

UCCX

大於 1023

8443

管理GUI, RTCP, 透過SOAP進行資料庫存取

HTTPS

TCP

用戶端

UCCX

大於 1023

8444

Cisco Unified Intelligence Center Web 介面

HTTPS

TCP

瀏覽器和 REST 用戶端

UCCX

大於 1023

8445

Finesse 的安全埠

HTTPS

TCP

用戶端

UCCX

大於 1023

8447

HTTPS - Unified Intelligence Center 線上說明

HTTPS

TCP

用戶端

UCCX

大於 1023

8553

單一登入 (SSO) 元件會存取此介面,以了解Cisco IdS 的作業狀態。

HTTP

TCP

用戶端

UCCX

大於 1023

9080

嘗試存取 HTTP 的用戶端觸發或檔/提示/語法/即時資料。

HTTPS

TCP

用戶端

UCCX

大於 1023

9443

用於回應嘗試存取 HTTPS 觸發的用戶端的安全埠

TCP

TCP

用戶端

UCCX

大於 1023

12014

這是即時資料報告用戶端可連線至 socket.IO 伺服器的埠。

TCP

TCP

用戶端

UCCX

大於 1023

12015

這是即時資料報告用戶端可連線至 socket.IO 伺服器的埠。

CTI

TCP

用戶端

UCCX

大於 1023

12028

第三方CTI用戶端至 CCX

RTP(媒體)

TCP

端點

UCCX

大於 1023

大於 1023

媒體埠會根據需要動態開啟

RTP(媒體)

TCP

用戶端

端點

大於 1023

大於 1023

媒體埠會根據需要動態開啟

用戶端安全性

使用 SIP OAuth 保護 Jabber 和 Webex 的安全

Jabber 和 Webex 用戶端是透過 OAuth 權杖而非本地重要憑證 (LSC) 來驗證的,此憑證不需要憑證授權單位機構代理功能 (CAPF) 啟用(對於 MRA)。在 Cisco Unified CM 12.5(1)、Jabber 12.5 和 Expressway X12.5 中引進了使用或不含混合模式的 SIP OAuth。

在 Cisco Unified CM 12.5 中,我們在電話安全性設定檔中提供了一個新的選項,可在 SIP REGISTER 中使用單一傳輸層安全性 (TLS) + OAuth 權杖,以啟用不含 LSC/CAPF 的加密。Expressway-C 節點使用管理 XML Web 服務 (AXL) API,Cisco Unified CM 通知其憑證中的 SN/SAN。Cisco Unified CM 在建立快速連接時,會使用此資訊來驗證 Exp-Cert 雙向 TLS。

SIP OAuth 啟用不含端點憑證 (LSC) 的媒體和訊號加密。

Cisco Jabber 透過 HTTPS 與 TFTP 伺服器的暫時埠和安全埠 6971 及 6972 埠來下載組設定檔。埠 6970 是透過 HTTP 下載的非安全埠。

有關 SIP OAuth 組配置的更多詳細資訊:SIP OAuth 模式

DNS需求

對於專用實例Cisco在每個地區都使用以下格式提供服務的 FQDN 。 .wxc-di.webex.com 譬如, xyz.amer.wxc-di.webex.com

管理員在首次設定精靈 (FTSW) 中提供'客戶'值。更多資訊,請參閱專用 實例服務啟動

此伺服器的 DNS FQDN需要從客戶的內部 DNS 伺服器解析以支援連接至專用實例的內部部署裝置。為了便於解決,客戶需要在指向專用實例 DNS 服務的 DNS 伺服器上FQDN此位址的條件轉轉程式。專用實例DNS服務是區域性的,且可使用下表中所述的以下IP位址,透過與專用實例的對等互連來存取 專用實例DNS服務IP位址

表 6. 專用實例 DNS 服務 IP 位址

地區/DC

專用實例 DNS 服務 IP 位址

條件轉推範例

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

離子

178.215.138.100

Ams

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

Ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

梅爾

178.215.128.100

西德妮

178.215.128.228

基於安全原因,上述 DNS 伺服器 IP 位址停用 ping 選項。

在條件轉轉完成之前,裝置將無法透過對等連結從客戶內部網路向專用實例註冊。透過行動及行動資料 (MRA) 註冊不需要條件Remote Access轉撥,因為為了便於 MRA 使用而需要的所有外部 DNS 記錄,都將由 Cisco 預先布建設定。

在專用實例上使用 Webex 應用程式作為通話軟體用戶端時,需要在 Control Hub 中針對每個地區的語音服務網域 (VSD) 來配置 UC Manager 設定檔。更多資訊,請參閱中 UC Manager 設定檔Cisco Webex Control Hub。Webex 應用程式將能夠自動解決客戶的Expressway問題,而無需最終使用者介入。

服務啟動完成後,語音服務網域將作為合作夥伴存取檔的一部分提供給客戶。

使用本地路由器進行電話DNS解析

對於無法存取公司DNS伺服器的電話,可以使用本機Cisco路由器將DNS請求轉寄至專用實例雲端DNS。這樣便無需部署本機DNS 伺服器,並提供包括快取在內的完整DNS支援。

範例設定

!

ip DNS 伺服器

ip 名稱伺服器

!

此部署模型中的DNS使用情況特定於電話,並且只能用於解析具有客戶專用實例中的網域的 FQDN。

電話DNS解析