Netzwerkanforderungen für Webex Teams-Dienste

Dieser Artikel wurde in englischer Sprache verfasst und maschinell übersetzt. Es wird keinerlei Gewährleistung, weder ausdrücklich noch stillschweigend, hinsichtlich der Genauigkeit, Korrektheit oder Zuverlässigkeit von Maschinenübersetzungen, die aus dem Englischen in eine andere Sprache ausgeführt werden, übernommen. Cisco ist nicht verantwortlich für Falschinformationen, Fehler und Schäden, die sich aus einer nicht sachgerechten Übersetzung des Inhalts bzw. einer unsachgemäßen Nutzung der Informationen ergeben.

Netzwerkanforderungen für Webex Teams-Dienste

Dokumentänderungsverlauf

Dieser Artikel richtet sich an Netzwerkadministratoren, insbesondere Firewall-, Proxy- und Websicherheitsadministratoren. Es hilft Ihnen bei der Konfiguration Ihres Netzwerks zur Unterstützung von Webex Teams (früher bekannt als Cisco Spark). Die Netzwerkanforderungen für herkömmliche Webex Meetings-Clients finden Sie unter WBX264 – Wie erlaube ich Webex Meetings-Datenverkehr in meinem Netzwerk?.

Webex Teams-Netzwerkanforderungen

Alle Webex Teams-Apps und -Geräte initiieren nur ausgehende Verbindungen. Die Cisco Webex Cloud stellt niemals Verbindungen zu Apps und Geräten des Webex Teams her. Webex Teams-Dienste werden in weltweit verteilten Rechenzentren gehostet, die entweder im Besitz von Cisco sind (z. B. Webex-Rechenzentren für Identitätsdienste, Schlüsselverwaltungsdienste und Medienserver) oder in einer Cisco Virtual Private Cloud (VPC) auf der Amazon AWS-Plattform gehostet werden (z. B. Webex Teams-Microdienste, -Message- und Dateispeicherdienste). Alle Daten werden bei der Übertragung und im Ruhezustand verschlüsselt.

Datenverkehrstypen

Apps und Geräte von Webex Teams verwenden zwei Arten von Datenverkehr: Signalisierung und Medien

Verkehr signalisieren

Apps und Geräte von Webex Teams verwenden HTTPS und WSS (Secure Websockets) für die Signalisierung.

Die Signalisierung des Datenverkehrs wird durch TLS mit starken Verschlüsselungssuiten (symmetrische 256-Bit- oder 128-Bit-Verschlüsselungsschlüsselgrößen, SHA-2-Hash-Funktionen) geschützt. TLS-Verschlüsselungsgruppen, die 256-Bit-symmetrische Verschlüsselungsschlüssel verwenden, werden bevorzugt, z.
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Die TLS-Versionen 1.2 und 1.1 werden nur von Webex Teams-Diensten unterstützt.

Alle Webex Teams-Funktionen, die keine Echtzeitmedien sind, hängen von der TLS-Signalisierung ab.

Webex Teams-URLs zum Signalisieren des Datenverkehrs
Wenn Sie Proxys oder Firewalls bereitgestellt haben, um den Datenverkehr aus Ihrem Unternehmensnetzwerk zu filtern, finden Sie hier die Liste der Ziel-URLs, die für den Zugriff auf den Webex Teams-Dienst in einer Positivliste aufgeführt werden müssen URLs von Webex Teams. Das Filtern von Webex Teams, die den Verkehr nach IP-Adresse signalisieren, wird nicht unterstützt, da die von Webex Teams verwendeten IP-Adressen dynamisch sind und jederzeit geändert werden können.

Medienverkehr

Apps und Geräte von Webex Teams verwenden Echtzeitmedien für Audio-, Video- und Content-Sharing-Streams. In der Regel* werden Medien von beliebigen Webex Team-Apps oder -Geräten vom Standort des Benutzers zu Medienknoten in der Webex-Cloud übertragen, auf denen die Streams gemischt und verteilt werden. Dies gilt für alle Anrufarten, z. B. Einzelunterhaltungen und Anrufe mit mehreren Teilnehmern. (*Vor Ort können Videonetzknoten auch zum lokalen Mischen und Verteilen von Medien bereitgestellt werden).

Cisco sichert alle Medienströme von Webex Teams mithilfe des SRTP (Secure Real-Time Transport Protocol), das in RFC 3711 beschrieben wird. Cisco-Apps und -Geräte verschlüsseln Medien mit der AES_CM_128_HMAC_SHA1_80-Verschlüsselungssuite.

Gemäß RFC 3711 empfiehlt Cisco dringend, UDP als Transportprotokoll für Sprach- und Videostreams von Webex Teams zu verwenden.

Apps und Geräte von Webex Teams unterstützen auch TCP als Rückfallprotokoll für den Medientransport. Cisco empfiehlt jedoch kein TCP als Transportprotokoll für Sprach- und Video-Medienstreams. Dies liegt daran, dass TCP verbindungsorientiert ist und dafür ausgelegt ist, zuverlässig geordnete Daten an Protokolle der höheren Schicht zu liefern. Über TCP sendet der Sender verlorene Pakete erneut, bis sie bestätigt werden, und der Empfänger puffert den Paketstrom, bis die verlorenen Pakete wiederhergestellt sind. Bei Medienströmen manifestiert sich dieses Verhalten als erhöhte Latenz/Jitter, was wiederum die Medienqualität der Teilnehmer des Anrufs beeinflusst.

Apps des Webex Teams unterstützen auch TLS (HTTPS) als tertiäre Option für den Medientransport. Die Verwendung von TLS kann auch bedeuten, dass dieser Medienverkehr von Webex Teams den Proxyserver eines Unternehmens durchlaufen muss, um die Medienserver in der Webex-Cloud zu erreichen. Da Proxyserver hauptsächlich dazu konzipiert sind, HTTP-basierten Webverkehr abzufangen und weiterzuleiten; Die Medienqualität kann beeinträchtigt werden, wenn der Proxyserver seine Leistungsschwelle erreicht und Pakete bei der Verarbeitung einer großen Anzahl von Medienströmen mit hoher Bandbreite verwirft.

Medienströme von Webex Teams werden in beide Richtungen mithilfe eines symmetrischen, von innen initiierten 5-Tupel-Streams (Quell-IP-Adresse, Ziel-IP-Adresse, Quellport, Zielport, Protokoll) in die Webex-Cloud übertragen.

Webex Teams verwendet außerdem STUN (RFC 5389) für das Durchlaufen von Firewalls und die Erreichbarkeit von Medienknoten. Weitere Einzelheiten finden Sie im Whitepaper zu Webex Teams Firewall.

Webex Teams - Ziel-IP-Adressbereiche für Medien
Wenn Sie das Ziel des Medienverkehrs steuern möchten, das Ihr Unternehmensnetzwerk verlässt, finden Sie hier die Ziel-IP-Adressbereiche für den Medienverkehr, der an die Webex Teams-Medienknoten gesendet werde: IP-Subnetze von Webex Teams für Medien

Webex Teams-Datenverkehr durch Proxies und Firewalls

Die meisten Kunden setzen eine Internet-Firewall oder einen Internet-Proxy und eine Firewall ein, um den HTTP-basierten Datenverkehr einzuschränken und zu steuern, der das Netzwerk verlässt. Befolgen Sie die nachstehenden Anleitungen zu Firewall und Proxy, um den Zugriff auf die Webex Teams-Dienste von Ihrem Netzwerk aus zu ermöglichen.

Konfiguration der Firewall

Wenn Sie nur eine Firewall verwenden, beachten Sie, dass das Filtern von Webex Teams, das Datenverkehr über IP-Adressen signalisiert, nicht unterstützt wird, da die von Webex Teams verwendeten IP-Adressen dynamisch sind und sich jederzeit ändern können. Wenn Ihre Firewall die URL-Filterung unterstützt, listen Sie die hier aufgeführten Ziel-URLs von Webex Teams auf URLs von Webex Teams.

Webex Teams Apps und Geräte

In der folgenden Tabelle werden Ports und Protokolle beschrieben, die von Webex Teams-Apps und -Geräten verwendet werden.

Quell-IP-Adresse	Ziel-IP-Adresse	Zielport	Protokoll	Beschreibung	Geräte, auf denen diese Regel angewendet wird
Ihre Netzwerke	ALLE	443	TLS	HTTPS und WSS für Signalisierung und Messaging Wenn Ihre Firewall DNS-Auflösung unterstützt oder Sie einen Proxy verwenden, benutzen Sie diese URLs von Webex Teams, um den Zugriff auf Webex Teams-Dienste auf die Positivliste zu setzen.	Alle
Videonetzknoten	ALLE	444	TCP	Sichere Kaskaden-Signalisierung	Kaskadensignalisierung von Videonetzknoten an die Webex Cloud
Videonetzknoten	ALLE	123	UDP	Network Time Protocol	Videonetzknoten-NTP
Videonetzknoten	ALLE	53	UDP/TCP	Domänennamensystem. Die meisten DNS-Abfragen erfolgen über UDP. DNS-Abfragen verwenden jedoch möglicherweise auch TCP.	Videonetzknoten-DNS
Ihre Netzwerke	Siehe IP-Subnetze von Webex Teams für Medien	5004 (1)	UDP, SRTP	Sicheres Audio, Video. Freigeben von Inhalten auf Webex Team-Geräten	Alle
Ihre Netzwerke	Siehe IP-Subnetze von Webex Teams für Medien	5004 (1)	TCP SRTP	Wird für die sichere Freigabe von Inhalten auf Desktop- und mobilen Apps von Webex Teams verwendet. Dient auch als Rücktransport für Audio und Video, wenn UDP nicht verwendet werden kann.	Alle
Ihre Netzwerke	Siehe IP-Subnetze von Webex Teams für Medien	443 (1)	TLS/HTTPS-SRTP	Wird als Fallback-Transport für die gemeinsame Nutzung von Audio, Video und Inhalten verwendet, wenn UDP und TCP nicht verwendet werden können.	Alle
Videonetzknoten in Ihren Netzwerken	Siehe IP-Subnetze von Webex Teams für Medien	5004	UDP, SRTP	Sichern Sie Audio-, Video- und Content-Sharing-Medien von Videonetzknoten in die Webex Cloud (TCP wird auch unterstützt, aber nicht empfohlen)	Kaskadenverbindungen von Videonetzknoten
Ihre Netzwerke	Siehe IP-Subnetze von Webex Teams für Medien	33434-33598	UDP, SRTP	Sichern von Audio-, Video- und Content-Sharing-Medien	SIP-Anrufe zur Webex Teams-Cloud, einschließlich des Hybrid-Anrufdienstes Connect

** Wenn Sie einen lokalen NTP- und DNS-Server in der OVA des Videonetzknotens konfigurieren, müssen die Ports 53 und 123 nicht in der Firewall geöffnet werden.

IP-Subnetze von Webex Teams für Medien

64.68.96.0/19 (CIDR) oder 64.68.96.0 – 64.68.127.255 (Netzbereich)
66.114.160.0/20 (CIDR) oder 66.114.160.0 – 66.114.175.255 (Netzbereich)
66.163.32.0/19 (CIDR) oder 66.163.32.0 – 66.163.63.255 (Netzbereich)
170.133.128.0/18 (CIDR) oder 170.133.128.0 – 170.133.191.255 (Netzbereich)
173.39.224.0/19 (CIDR) oder 173.39.224.0 – 173.39.255.255 (Netzbereich)
173.243.0.0/20 (CIDR) oder 173.243.0.0 – 173.243.15.255 (Netzbereich)
207.182.160.0/19 (CIDR) oder 207.182.160.0 – 207.182.191.255 (Netzbereich)
209.197.192.0/19 (CIDR) oder 209.197.192.0 – 209.197.223.255 (Netzbereich)
216.151.128.0/19 (CIDR) oder 216.151.128.0 - 216.151.159.255 (Netzbereich)
114.29.192.0/19 (CIDR) oder 114.29.192.0 – 114.29.223.255 (Netzbereich)
210.4.192.0/20 (CIDR) oder 210.4.192.0 – 210.4.207.255 (Netzbereich)
69.26.176.0/20 (CIDR) oder 69.26.176.0 - 69.26.191.255 (Netzbereich)
62.109.192.0/18 (CIDR) oder 62.109.192.0 – 62.109.255.255 (Netzbereich)
69.26.160.0/19 (CIDR) oder 69.26.160.0 – 69.26.191.255 (Netzbereich)

Hinweis: Die obige Liste der IP-Bereiche für Cloudmedienressourcen ist nicht vollständig. Möglicherweise werden auch andere IP-Bereiche von Cisco Webex Teams verwendet, die nicht in der obigen Liste enthalten sind. Die Webex Teams-App und die Geräte können jedoch normal funktionieren, ohne sich mit den nicht aufgelisteten Medien-IP-Adressen verbinden zu können.

Cisco unterstützt oder empfiehlt nicht, IP-Adressen für eine bestimmte geografische Region zu filtern. Das Filtern nach Regionen kann zu einer ernsthaften Verschlechterung der Webex Teams-Meetingumgebung führen, einschließlich der Fähigkeit, Meetings beizutreten.

(1) Port 33434 wird für Medien nicht mehr verwendet, aber zum Zwecke der Abwärtskompatibilität testet und verwendet Webex Teams diese Ports weiterhin, wenn 5004 nicht offen ist. Hinweis – Classic Webex Meeting-Clients verwenden derzeit den UDP-Port 9000 für Medien. Weitere Informationen finden Sie unter: WBX264 – Wie lasse ich Webex Meetings-Datenverkehr in meinem Netzwerk zu?

Proxykonfiguration

Viele Organisationen verwenden Proxys, um den Benutzerdatenverkehr zu überprüfen und zu steuern, der das Netzwerk verlässt. Mit Proxies können einige Sicherheitsfunktionen ausgeführt werden, z. B. URL-Whitelisting und Blacklisting, Benutzerauthentifizierung, Nachschlagen der IP-Adresse/Domäne/Hostname/URI-Reputation sowie Entschlüsselung und Überprüfung des Datenverkehrs. Die für Webex Teams relevanten Proxy-Funktionen werden im Folgenden beschrieben.

Webex Teams-URLs

Die folgende Tabelle beschreibt die von Webex Teams verwendeten URLs. Wenn Ihre Organisation einen Proxy verwendet, stellen Sie sicher, dass auf diese URLs zugegriffen werden kann. Weitere Informationen dazu, wie Webex Teams Daten verarbeitet, die an diese URL gesendet werden, finden Sie im Whitepaper zu Sicherheit und Datenschutz in Webex Teams.

URL	Beschreibung	Webex Teams-Apps und -Geräte, die diese URLs und zusätzliche Hinweise verwenden
*.ciscospark.com	Webex Teams-Dienste	Alle
*.ciscowebex.com	Webex Teams und Webex-Dienste und Webex-Desktop-App	Alle
*.wbx2.com	Webex Teams-Dienste	Alle
*.webex.com	Authentifizierung und Webex-Integration	Alle
*.webexconnect.com	Webex-Dienste	Alle
*.ciscosparkcontent.com ++	Hochladen von Protokolldateien	Webex Teams-Apps
*.accompany.com	Integration von People Insights	Webex Teams-Apps
*.webexcontent.com (neu)	Webex Teams – allgemeiner Dateispeicher, einschließlich: Benutzerdateien, transcodierte Dateien, Bilder, Screenshots und Whiteboard-Inhalte, Kundenprotokolle, Avatare, Branding-Logos, Bulk-CSV-Export- und Importdateien (Control Hub)	Alle Ab Oktober 2019 werden Benutzerdateien hochgeladen und in der von Cisco verwalteten Domäne webexcontent.com gespeichert. Dateien, die vor Oktober 2019 hochgeladen wurden, bleiben in der Domänen clouddrive.com und sind über Webex Teams zugänglich, bis die Beibehaltungsdauer für Ihr Unternehmen erreicht ist (und dann gelöscht werden). Während dieser Zeit benötigen Sie möglicherweise Zugriff sowohl auf die Domäne webexcontent.com (für neue Dateien) als auch auf die Domäne clouddrive.com (für alte Dateien). Wenn Sie nur die Nutzung der Domäne webexcontent.com erzwingen: Alte Dateien, die hochgeladen und in der Domäne clouddrive.com gespeichert wurden (von Ihnen oder einer beteiligten Organisation), stehen nicht zur Ansicht und zum Herunterladen in Teams-Bereichen zur Verfügung, in denen Sie Mitglied sind. Wenn Sie nur die Nutzung der Domäne clouddrive.com erzwingen: Sie können keine Dateien hochladen, und neue Dateien, die von einer anderen Organisation, deren Speicherplatz Sie nutzen, hochgeladen und in der Domäne webexcontent.com gespeichert werden, sind nicht abrufbar.
.clouddrive.com ++ oder storage101.ord1.clouddrive.com ++ storage101.dfw1.clouddrive.com ++ storage101.iad3.clouddrive.com ++	Webex Teams - Allgemeiner Dateispeicher einschließlich: Benutzerdateien, Transcodierte Dateien, Bilder, Screenshots und Whiteboard- Inhalte, Kundenprotokolle, Avatare, Branding-Logos, Bulk-CSV-Exportdateien & Importdateien (Control Hub)	Alle Ab Oktober 2019 werden die Benutzerdateien nicht mehr in der Domäne clouddrive.com hochgeladen und gespeichert, sondern in der von Cisco verwalteten Domäne webexcontent.com. Dateien, die vor Oktober 2019 hochgeladen wurden, bleiben in der Domäne clouddrive.com und sind von Webex Teams zugänglich, bis die Beibehaltungsdauer für Ihr Unternehmen erreicht ist (und dann gelöscht werden). Während dieser Zeit benötigen Sie möglicherweise Zugriff sowohl auf die Domäne webexcontent.com (für neue Dateien) als auch auf die Domäne clouddrive.com (für alte Dateien). Wenn Sie nur die Nutzung der Domäne clouddrive.com erzwingen: Sie können keine Dateien hochladen, und neue Dateien, die von einer anderen Organisation, deren Speicherplatz Sie nutzen, hochgeladen und in der Domäne webexcontent.com gespeichert werden, sind nicht abrufbar. Wenn Sie nur die Nutzung der Domäne webexcontent.com erzwingen: Alte Dateien, die hochgeladen und in der Domäne clouddrive.com gespeichert wurden (von Ihnen oder einer beteiligten Organisation), stehen nicht zur Ansicht und zum Herunterladen in Teams-Bereichen zur Verfügung, in denen Sie Mitglied sind.
*.rackcdn.com ++	Software/Firmware-Updates Datei-Uploads	Alle Content Delivery Network für *.clouddrive.com
*.huron-dev.com	Geräteaufnahme und Diensterfassung Wird für die Aufnahme von Cisco-Telefonen in den Spark-Anrufdienst verwendet	Spark-Anrufdienst: Cisco IP-Telefone Serie 7800 und 8800
.activate.cisco.com .webapps.cisco.com	Geräteaufnahme und Diensterfassung Wird für die Aufnahme von Geräten für den Webex Teams-Dienst und den Webex Calling-Dienst verwendet.	Webex Teams: SX, DX, MX, Raumgeräte der Room Kit-Serie, Webexboard, Webex Share Webex Calling: Cisco-Telefone mit Multiplattform-Firmware (MPP-Telefone): IP-Telefone der Serie 6800 IP-Telefone der Serie 7800 Konferenztelefon der Serie 7832 88x5 Videotelefone
*.sparkpostmail1.com	E-Mail-Dienste für Newsletter, Registrierungsinformationen, Ankündigungen	Alle
*.giphy.com	Ermöglicht Benutzern, GIF-Bilder freizugeben. Diese Funktion ist standardmäßig aktiviert, kann jedoch in Control Hub deaktiviert werden.	Webex Teams-Apps
safebrowsing.googleapis.com	Wird verwendet, um Sicherheitsüberprüfung von URLs durchzuführen, bevor diese in den Nachrichtenstrom gelangen. Diese Funktion ist standardmäßig aktiviert, kann jedoch in Control Hub deaktiviert werden.	Webex Teams-Apps
msftncsi.com/ncsi.txt captive.apple.com/hotspot-detect.html	Drittanbieter-Internet-Konnektivitätsprüfung, um Fälle zu identifizieren, in denen eine Netzwerkverbindung, aber keine Verbindung zum Internet besteht. Webex Teams führt eigene Internet-Konnektivitätsprüfungen durch, kann aber auch diese URLs von Drittanbietern als Rückgriff verwenden.	Webex Teams-Apps
.crashlytics.com *	Diagnose- und Fehlerbehebungsdaten	Alle
.amplitiude.com * .segment.com * .segment.io *	A/B-Tests und -Kennzahlen	Webex Teams Web- und/oder Android-Apps
.walkme.com *	Webex Teams-Benutzerleitfaden-Client. Bietet Aufnahme- und Nutzungs-Touren für neue Benutzer.	Webex Teams-Apps
.eum-appdynamics.com *	Leistungsüberwachung, Fehler-und Absturzerfassung, Sitzungsmetriken	Webex Teams-Web-App
speech.googleapis.com texttospeech.googleapis.com speech-services-manager-a.wbx2.com	Google Speech Services. Wird vom Webex-Assistenten zum Verarbeiten von Spracherkennung und Text-zu-Sprache verwendet. Ist standardmäßig deaktiviert, kann über Control Hub aktiviert werden. Assistant kann auch für jedes Gerät einzeln deaktiviert werden.	Webex Room-Kit und Webex Room-Geräte Details zu Webex Teams-Geräten, die Webex Assistant unterstützen, sind hier dokumentiert: https://help.webex.com/en-us/hzd1aj/Enable-Cisco-Webex-Assistant

** Webex Teams nutzt Drittanbieter zur Datenerfassung bei der Diagnose und Fehlerbehebung sowie für die Sammlung von Crash- und Nutzungskennzahlen. Die Daten, die an diese Sites von Drittanbietern gesendet werden können, werden im Datenblatt von Webex beschrieben. Weitere Informationen finden Sie unter: https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-webex-privacy-data-sheet.pdf

++ Neue Kunden (ab Oktober 2019 und später) können diese Domänen weglassen, da Sie nicht mehr für die Dateispeicherung durch Webex Teams verwendet werden. Beachten Sie jedoch, dass Sie diese Domänen verwenden müssen, wenn Sie einem Bereich beitreten, der einer anderen Organisation gehört, die diese Domänen für den Dateispeicher verwendet hat (d. h. Dateien wurden vor Oktober 2019 hochgeladen).

Zusätzliche URLs für Webex Teams-Hybriddienste

URL	Beschreibung	Benutzt von:
*.cloudfront.net	Upgrades für Hybrid-Dienste	Videonetzknoten Hybrider Datensicherheitsknoten
.docker.com * .docker.io *	Hybrid-Dienst-Container	Videonetzknoten Hybrider Datensicherheitsknoten
*.core-os.net	Core OS-Upgrades	Videonetzknoten Hybrider Datensicherheitsknoten
.amazonaws.com *	Hybrid-Dienst-Container Core OS-Upgrades, Hochladen von Protokolldateien	Videonetzknoten Hybrider Datensicherheitsknoten
*.identity.api.rackspacecloud.com +++	Core Dump-Uploads	Videonetzknoten Hybrider Datensicherheitsknoten
*.cloudconnector.cisco.com	Benutzersynchronisierung	Hybrid Services Directory Connector
.webexcontent.com .clouddrive.com +++ oder .storage101.ord1.clouddrive.com +++ .storage101.dfw1.clouddrive.com +++ *.storage101.iad3.clouddrive.com +++	Hochladen von Protokolldateien	Expressway-Hybridsteckverbinder Hinweis: Ab Oktober 2019 werden die Protokolldateien nicht mehr in der Domäne clouddrive.com hochgeladen und gespeichert, sondern in der von Cisco verwalteten Domäne webexcontent.com.

** Wir gehen davon aus, dass wir die Verwendung von *.docker.com und *.docker.io für Hybriddienst-Container schrittweise einstellen und diese schließlich durch *amazonaws.com ersetzen werden.

Bei Hybriddiensten kann der externe Zugriff weiter eingeschränkt werden, indem Sie Ihren Proxy so konfigurieren, dass nur die Quell-IP-Adresse Ihrer Knoten der Hybriddienste diese URLs erreichen kann (mit Ausnahme von webexcontent.com und clouddrive.com (siehe Hinweise oben), die auch von Webex Teams-Apps und -Geräten verwendet werden).

Hinweis: Wenn Sie einen WSA-Proxy (Cisco Web Security Appliance) verwenden und die von Webex Teams verwendeten URLs automatisch aktualisieren möchten, lesen Sie bitte das Konfigurationsdokument für WSA Webex Teams als Anleitung zur Bereitstellung eines externen Webex Teams-Feeds in AsyncOS für Cisco Web Security.

Eine CSV-Datei mit der Liste der Webex Teams-URIs finden Sie unter: Webex Teams – CSV-Datei

+++ Neue Unternehmen (ab Oktober 2019 und später) können diese Domänen bei Expressway Hybrid-Konnektoren weglassen.

Proxy-Funktionen

Proxy-Authentifizierungsunterstützung

Proxies können als Zugriffssteuerungsgeräte verwendet werden, die den Zugriff auf externe Ressourcen blockieren, bis der Benutzer/das Gerät gültige Berechtigungsnachweise für die Zugriffsberechtigung für den Proxy bereitstellt. Verschiedene Authentifizierungsmethoden werden von Proxies unterstützt, z. B. Standardauthentifizierung, Digestauthentifizierung (NTLM auf Windows-Basis), Kerberos und Negotiate (Kerberos mit NTLM-Fallback).

Ohne Authentifizierung kann das Gerät mit einer Proxy-Adresse konfiguriert werden, unterstützt jedoch keine Authentifizierung. Wenn die Proxy-Authentifizierung verwendet wird, müssen gültige Anmeldeinformationen konfiguriert und im Betriebssystem des Webex Teams-Geräts/der Webex Teams-Anwendung gespeichert werden.

Für Webex Teams-Geräte und -Apps können Proxys manuell über das Plattform-Betriebssystem oder die Benutzeroberfläche des Geräts konfiguriert oder mithilfe von Mechanismen wie der automatischen Web-Proxy-Erkennung (WPAD) automatisch ermittelt werden. Siehe https://www.cisco.com/c/en/us/td/docs/security/web_security/connector/connector3000/WPADAP.html und/oder Proxy Auto Config (PAC)-Dateien siehe https://www.cisco.com/c/en/us/td/docs/security/web_security/connector/connector2972/PACAP.html

Produkt	Authentifizierungstyp	Proxykonfiguration
Webex Teams für Mac	Kein Auth, Basic, NTLM (1)	Handbuch, WPAD, PAC
Webex Teams für Windows	Keine Auth, Standard (Konto), NTLM (2), Negotiate	Handbuch, WPAD, PAC, GPO
Webex Teams für iOS	Keine Auth, Basic, Digest, NTLM	Handbuch, WPAD, PAC
Webex Teams für Android	Keine Auth, Basic, Digest, NTLM	Handbuch, PAC
Webex Teams-Web-App	Kein Auth, Basic, Digest, NTLM, Negotiate	Wird über OS unterstützt
Raumgeräte: SX, DX, MX, Room Kit-Serie und Webex Board	Keine Auth, Basic, Digest	WPAD, PAC oder manuell
Webex Calling IP-Telefone (vormals Spark Calling)	Nicht zutreffend - SIP-Signalisierung	k. A.
Webex-Videonetzknoten	Keine Auth, Basic, Digest, NTLM	Manuell
Hybrider Datensicherheitsknoten	Keine Auth, Basic, Digest	Manuell
Host-Connector für Hybriddienste	Kein Auth, Basic, NTLM	Manuelle Konfiguration Expressway C: Anwendungen> Hybriddienste> Connector Proxy
Hybriddienste: Verzeichniskonnektor	Kein Auth, Basic, NTLM	Unterstützt über Windows OS
Hybriddienste Expressway C: Kalenderkonnektor	Kein Auth, Basic, NTLM	Manuelle Konfiguration Expressway C: Anwendungen > Hybriddienste> Konnektor-Proxy: Benutzername Kennwort Expressway C: Anwendungen> Hybriddienste> Kalenderkonnektor > Microsoft Exchange> Basic und/oder NTLM
Hybriddienste Expressway C: Anrufkonnektor	Kein Auth, Basic, NTLM	Manuelle Konfiguration Expressway C: Anwendungen> Hybriddienste> Konnektor-Proxy

(1): Mac NTLM Auth - Der Computer muss nicht bei der Domäne angemeldet sein. Der Benutzer wird zur Eingabe eines Kennworts aufgefordert
(2) Windows NTLM Auth - Wird nur unterstützt, wenn der Computer in der Domäne angemeldet ist
(3): Webex Board-HTTP-Proxy-Setup

Proxy-Überprüfung und Zertifikats-Pinning

Webex Teams überprüft die Zertifikate des Systems, mit dem es kommuniziert. Dazu stellt Webex Teams sicher, dass die Zertifikate, die beim Einrichten einer TLS-Sitzung vorgelegt werden, anhand der Liste der vertrauenswürdigen Stamm-CA-Zertifikate, die im Betriebssystem des Geräts installiert sind, und der PINs (Hashes) der öffentlichen Schlüssel von Zwischenzertifikaten, die in der Webex Teams-App installiert sind, validiert werden können. Webex Teams stellt außerdem sicher, dass Zertifikate nicht von bekannten böswilligen oder gefährdeten Zertifizierungsstellen ausgestellt werden.

Wenn Sie ein Gerät zur TLS-Prüfung bereitgestellt haben, stellen Sie sicher, dass das vorgelegte Zertifikat über eine Vertrauenskette für eine erfolgreiche Überprüfung auf Geräten verfügt, die die Webex Teams-App ausführen. Dafür müssen Sie ein CA-Zertifikat auf dem Betriebssystem des Geräts installieren.

In der folgenden Tabelle finden Sie Informationen zur Unterstützung für benutzerdefinierte, vertrauenswürdige Stamm-CAs, die – wie oben beschrieben – auf dem Betriebssystem installiert sind.

Produkt	Unterstützt benutzerdefinierte vertrauenswürdige Zertifizierungsstellen für die TLS-Inspektion	Anmerkungen
Webex Teams für iOS	Ja
Webex Teams für Android	Ja
Webex Teams für Mac	Ja
Webex Teams für Windows	Ja
Webex Teams-Web-App	Ja
Raumgeräte: SX, DX, MX, Room Kit-Serie und Webex Board	Ja
Webex Calling IP-Telefone (vormals Spark Calling)	Nein
Cisco Webex-Videonetz	Ja
Hybrid-Datensicherheitsdienst	Ja
Hybriddienste - Verzeichnis, Kalender, Anrufe, Management-Konnektoren	Nein

802.1X - Portbasierte Netzwerkzugriffssteuerung

Produkt	Unterstützt 802.1X	Anmerkungen
Webex Teams für iOS	Ja	Wird über OS unterstützt
Webex Teams für Android	Ja	Wird über OS unterstützt
Webex Teams für Mac	Ja	Wird über OS unterstützt
Webex Teams für Windows	Ja	Wird über OS unterstützt
Webex Teams-Web-App	Ja	Wird über OS unterstützt
Raumgeräte: SX, DX, MX, Room Kit-Serie und Webex Board	Ja	EAP-FAST EAP-MD5 EAP-PEAP EAP-TLS EAP-TTLS Konfigurieren Sie 802.1X über die GUI oder Touch 10 Upload von Zertifikaten über HTTP-Schnittstelle
Webex Calling IP-Telefone (vormals Spark Calling)	Nein
Cisco Webex-Videonetz	Nein	Verwenden Sie die MAC-Adressumgehung
Hybrid-Datensicherheitsdienst	Nein	Verwenden Sie die MAC-Adressumgehung
Hybriddienste - Verzeichnis, Kalender, Anrufe, Management-Konnektoren	Nein	Verwenden Sie die MAC-Adressumgehung

Cisco Webex-Videonetz

Der Cisco Webex-Videoknoten stellt ein Ziel für Mediendatenverkehr in Ihrem Netzwerk bereit. Zur Reduzierung der Internetbandbreitennutzung und zur Verbesserung der Medienqualität können Medien in Ihrem Netzwerk verbleiben und werden nicht alle in die Webex Cloud weitergeleitet. Einzelheiten finden Sie in dem Bereitstellungshandbuch zu Cisco Webex-Videonetz.

Hybrid-Dienste von Webex Teams

Mit den Hybrid-Diensten von Webex Teams können Sie die Besprechungs- und Messaging-Funktionen von Webex Teams zu Ihrer vorhandenen Cisco Unified Communications-Bereitstellung hinzufügen. Allgemeine Informationen zur Bereitstellung der Hybrid-Dienste von Webex Teams finden Sie unter: Bevorzugte Architektur für Hybrid-Dienste von Webex Teams

Die folgenden Hybrid-Dienste von Webex Teams sind heute verfügbar:

Hybrider Anrufdienst

Der Anrufdienst verbindet die Cisco Call Control mit der Webex-Cloud für eine einzige, integrierte Benutzererfahrung.

Der Anrufdienst bietet zwei Kernfunktionen:

Der Anrufdienst Aware macht Webex Teams auf alle Anrufe in Ihrem Cisco Unified Communications-System aufmerksam und ermöglicht so eine Vielzahl von Funktionen.
Der Anrufdienst Connect verbindet Webex Teams mit Cisco Unified Communications Manager, damit sie zusammenarbeiten können. Die Webex Teams-App kann als mobiler Soft-Client für Sprach- und Videoanrufe genutzt werden und verwendet den gleichen Anschluss wie das Cisco-Telefon.

Nähere Informationen finden Sie im Bereitstellungshandbuch zu hybriden Anrufdiensten

Hybrider Kalenderdienst

Der hybride Kalenderdienst verbindet Microsoft Exchange, Office 365 oder Google Calendar mit Webex Teams, wodurch die Planung und Teilnahme an Besprechungen vereinfacht wird, insbesondere wenn Sie unterwegs sind.

Weitere Informationen finden Sie in der Bereitstellungshandbuch für den hybriden Kalenderdienst von Webex Teams.

Hybrider Verzeichnisdienst

Der hybride Verzeichnisdienst verbindet Active Directory mit Webex Teams. Mit dieser Funktion können Benutzer Firmenkontakte anzeigen und zu ihren Webex Teams-Räumen hinzufügen und ganz einfach auf Anruf oder Nachricht klicken. Es bietet auch einen einfachen Verwaltungsprozess, der die Kontakte des Unternehmensverzeichnisses automatisch und sicher in die Cloud ausdehnt und diese für Genauigkeit und Konsistenz synchronisiert.

Weitere Informationen finden Sie im Bereitstellungshandbuch für den Cisco-Verzeichniskonnektor

Webex Calling (vormals Cisco Spark Call) – Netzwerkanforderungen

Quell-IP-Adresse	Ziel-IP-Adresse	Zielport	Protokoll	Beschreibung	Geräte, auf denen diese Regel angewendet wird
Ihre Netzwerke	ALLE	123	UDP	NTP-Zeitsynchronisierung	Webex Calling: Cisco-Telefone mit Multiplattform-Firmware (MPP-Telefone): IP-Telefone der Serie 6800 IP-Telefone der Serie 7800 Konferenztelefon der Serie 7832 88x5 Videotelefone
Ihre Netzwerke	ALLE	3478	UDP	Audio-, Video TURN-Server
Ihre Netzwerke	ALLE	24000-29999, 36000-59999	UDP	SRTP-Audio und Videomedien
Ihre Netzwerke	ALLE	5061	TLS	SIP-Signalisierung
Ihre Netzwerke	ALLE	8443	TLS	Signalisierung

Überarbeitungsverlauf des Dokuments – Netzwerkanforderungen für Webex Teams-Dienste

Änderungsdatum	Neue und geänderte Informationen
14.10.2019	Unterstützung für die TLS-Inspektion für hinzugefügte Raumgeräte
16.09.2019	Hinzufügen der TCP-Unterstützungsanforderung für DNS-Systeme, die TCP als Transportprotokoll verwenden. Hinzufügen der URL *.walkme.com: Dieser Dienst bietet Onboarding- und Nutzungs-Touren für neue Benutzer. Änderungen an den Dienst-URLs, die von Web Assistant verwendet werden.
28.08.2019	*.sparkpostmail1.com-URL hinzugefügt E-Mail-Dienste für Newsletter, Registrierungsinformationen, Ankündigungen
20.08.2019	Proxy-Unterstützung für Video-Netzknoten und Dienst „Hybrid-Datensicherheit“ hinzugefügt
15.08.2019	Übersicht über das Cisco-und AWS-Rechenzentrum, das für den Webex Teams-Dienst verwendet wird. .webexcontent.com-URL für Dateispeicherung hinzugefügt Hinweis, dass clouddrive.com für Dateispeicherung veraltet ist .walkme.com-URL für Metriken und Tests hinzugefügt
12.07.2019	.activate.cisco.com- und .webapps.cisco.com-URLs hinzugefügt Text-zu-Sprache-URLs aktualisiert in .speech-googleapis.wbx2.com und .texttospeech-googleapis.wbx2.com .quay.io-URL entfernt URL des Hybriddienst-Containers zu .amazonaws.com geändert
27.06.2019	*.accompany.com-Whitelist-Anforderung für Funktion „People Insights“ hinzugefügt
25.04.2019	„Webex Teams-Dienste“ zur Zeile über TLS-Versionsunterstützung hinzugefügt. „Webex Teams“ zur Zeile über Medien-Streams unter Medien-Traffic hinzugefügt. „Geographisch“ vor Region in Webex Teams IP-Subnetze im Medienabschnitt hinzugefügt. Weitere kleine Änderungen an der Formulierung vorgenommen. Die URL-Tabelle für Webex Teams wurde bearbeitet, indem die URL für A/B-Tests und Metriken aktualisiert und eine neue Zeile für Google Speech Services hinzugefügt wurde. Im Abschnitt „Zusätzliche URLs für Webex Teams-Hybriddienste“ wurde Versionsinformation „10.1“ nach „AsyncOS“ entfernt. Text im Abschnitt „Proxy-Authentifizierungsunterstützung“ aktualisiert.
26.03.2019	Die hier verlinkte URL „Lesen Sie bitte das Konfigurationsdokument für WSA Webex Teams als Anleitung“ wurde geändert von https://www.cisco.com/c/dam/en/us/products/collateral/security/web-security-appliance/guide-c07-739977.pdf in https://www.cisco.com/c/en/us/td/docs/security/wsa/wsa11-5/user_guide/b_WSA_UserGuide_11_5_1.html URL „api.giphy.com“ zu *.giphy.com geändert
21.02.2019	„Webex Calling“ wurde aktualisiert und lautet nun „Webex Calling (ehemals Spark Calling)“, wie von John Costello gewünscht, aufgrund der bevorstehenden Produkteinführung mit gleichem Namen – Webex Calling via BroadCloud.
06.02.2019	Der Text „Hybrider Medienknoten“ wurde aktualisiert und lautet nun „Webex-Videonetzknoten“.
11.01.2019	Der Text „End-to-End verschlüsselte Dateien, die in Webex Teams-Bereiche und Avatar-Speicher hochgeladen wurden“ wurde aktualisiert und lautet jetzt „End-to-End verschlüsselte Dateien, die in die Webex Teams-Bereiche, Avatar-Speicher, Webex Teams Branding Logos hochgeladen wurden“.
09.01.2019	Aktualisiert unter Entfernen der folgenden Zeile: „Um sicherzustellen, dass die Geräte von Webex Teams Room das CA-Zertifikat erhalten, das für die Validierung der Kommunikation über Ihren TLS-inspizierenden Proxy erforderlich ist, wenden Sie sich bitte an Ihren CSM, oder öffnen Sie einen Fall mit dem Cisco TAC.“
5. Dezember 2018	URLs aktualisiert: „https://“ aus 4 Einträgen in der URL-Tabelle für Webex Teams entfernt: https://api.giphy.com -> api.giphy.com https://safebrowsing.googleapis.com -> safebrowsing.googleapis.com http://www.msftncsi.com/ncsi.txt -> msftncsi.com/ncsi.txt https://captive.apple.com/hotspot-detect.html -> captive.apple.com/hotspot-detect.html Verknüpfte .CSV-Datei für Webex Teams zum Anzeigen der oben aufgeführten überarbeiteten Links aktualisiert.
30. November 2018	Neue URLs: .ciscosparkcontent.com, .storage101.ord1.clouddrive.com, .storage101.dfw1.clouddrive.com, .storage101.iad3.clouddrive.com, https://api.giphy.com, https://safebrowsing.googleapis.com, http://www.msftncsi.com/ncsi.txt, https://captive.apple.com/hotspot-detect.html, .segment.com, .segment.io, .amplitiude.com,.eum-appdynamics.com, .docker.io, .core-os.net, .s3.amazonaws.com, .identity.api.rackspacecloud.com
	Unterstützung für zusätzliche Proxy-Authentifizierungsmethoden für Windows, iOS und Android
	Webex Board übernimmt das Betriebssystem und die Funktionen des Raumgeräts. Von Raumgeräten gemeinsam genutzte Proxy-Funktionen: SX, DX, MX, Room Kit-Serie und Webex Board.
	Unterstützung für die TLS-Inspektion durch iOS- und Android-Apps.
	Unterstützung für TLS-Inspektionen auf Raumgeräten entfernt: SX, DX, MX, Room Kit-Serie und Webex Board.
	Webex Board übernimmt das Betriebssystem und die Funktionen des Raumgeräts; 802.1X-Unterstützung.
21. November 2018	Folgender Hinweis zum Abschnitt „IP-Subnetze für Medien“ hinzugefügt: Die obige Liste der IP-Bereiche für Cloudmedien-Ressourcen ist nicht erschöpfend. Möglicherweise werden auch andere IP-Bereiche von Cisco Webex Teams verwendet, die nicht in der obigen Liste enthalten sind. Die Webex Teams-App und die Geräte können jedoch normal funktionieren, ohne sich mit den nicht aufgelisteten Medien-IP-Adressen verbinden zu können.
19. Oktober 2018	Hinweis hinzugefügt: Webex Teams nutzt Drittanbieter zur Datenerfassung bei der Diagnose und Fehlerbehebung sowie für die Sammlung von Crash- und Nutzungskennzahlen. Die Daten, die an diese Sites von Drittanbietern gesendet werden können, werden im Datenblatt von Webex beschrieben. Weitere Details finden Sie unter: https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-webex-privacy-data-sheet.pdf
19. Oktober 2018	Separate Tabelle für zusätzliche URLs, die von Hybrid-Diensten verwendet werden: .cloudfront.net, .docker.com, .quay.io, .cloudconnector.cisco.com, *.clouddrive.com
7. August 2018	Hinweis zur Tabelle „Ports und Protokolle“ hinzugefügt: Wenn Sie einen lokalen NTP- und DNS-Server in der OVA des Videonetzknotens konfigurieren, müssen die Ports 53 und 123 nicht in der Firewall geöffnet werden.
7. Mai 2018	Umfangreiche Dokumentüberarbeitung

Danke für Ihr Feedback.