Webex サービスのネットワーク要件
マニュアルの改訂履歴
この記事は、ネットワーク管理者、特に組織内の Webex メッセージングおよびミーティング サービスを使用するファイアウォールとプロキシ セキュリティ管理者を対象にしています。 ネットワークを構成して、HTTPS ベースの Webex アプリと Webex Room デバイス、Cisco IP Phone、Cisco ビデオ デバイス、および SIP を使用するサードパーティ デバイスが使用する Webex Meetings サービスによって使用される Webex サービスをサポートするのに役立ちます。
このドキュメントでは主に、Webex クラウド サービスに HTTPS 信号を使用する Webex クラウド登録製品のネットワーク要件に焦点を当て、Webex Meetings に参加するために SIP シグナリングを使用する製品のネットワーク要件も記載しています。 これらの違いを以下に要約します。
Webex クラウド登録アプリとデバイス
すべてのクラウド登録済み Webex アプリとデバイスは、HTTPS を使用して、Webex メッセージングとミーティング サービスと通信します。
- クラウド登録された Webex Room デバイスは、すべての Webex サービスに対して HTTPS シグナリングを使用します。
- Webex デバイスに登録されているオンプレミス SIP は、デバイスの Webex Edge 機能が有効になっている場合、HTTPS シグナリングを使用することもできます。 この機能により、Webex デバイスは Webex Control Hub を介して管理され、HTTPS シグナリングを使用して Webex Meetings に参加することを許可します。(詳細については、次を参照 https://help.webex.com/en-us/cy2l2z/Webex-Edge-for-Devices).
- Webex アプリは、Webex メッセージングとミーティング サービスに HTTPS シグナリングを使用します。 Webex アプリは SIP プロトコルを使用して Webex ミーティングに参加することもできますが、これはユーザーが SIP アドレスを介して呼び出されるか SIP URL にダイヤルしてミーティングに参加 (Webex アプリがネイティブなミーティングの機能を使用するのではなく) を選択する必要があります。
Webex Calling サービスおよび Cisco Unified CM などのオンプレミス コール制御製品は、コール制御プロトコルとして SIP を使用します。 Webex Room デバイス、Cisco IP Phone、およびサードパーティ製品は、SIP を使用して Webex Meetings に参加できます。 Cisco Unified CM などのオンプレミス SIP ベースの通話制御製品の場合、SIP セッションは Webex Cloud との通話のために、Expressway C & E、CUBE SBC などのボーダー コントローラーを通して確立されます。
Webex Calling の特定のネットワーク要件の詳細については、以下を参考にしてください。 https://help.webex.com/en-us/b2exve/Port-Reference-Information-for-Cisco-Webex-Calling
すべてのクラウド登録 Webex アプリと Webex Room デバイスは、送信接続のみを開始します。 Cisco の Webex Cloud はクラウド登録された Webex アプリと Webex Room デバイスへの送信接続を開始しませんが、SIP デバイスに発信することができます。 ミーティングやメッセージング用の Webex サービスは主にグローバルに分散されたデータセンターでホストされており、Cisco が所有する (ID サービス、キー、管理サービス、メディア サーバーのための Webex データセンター)か、または Amazon AWS プラットフォームの Cisco 仮想プライベートクラウド (VPC) でホストされます (例: Webex Teams マイクロサービス、メッセージ、ファイル ストレージ サービス)。 すべてのデータは、転送中および保存中に暗号化されます。
トラフィックのタイプ:
Webex アプリと Webex Room デバイスは、Webex クラウドへのシグナリングおよびメディア接続を確立します。
シグナリング トラフィック
Webex アプリと Webex デバイスは、シグナリングのために HTTPS と WSS (セキュアなウェブソケット)を使用します。 シグナリング接続はアウトバウンドのみであり、Webex サービスに対してセッションに URL を使用します。
シグナリング トラフィックは、強力な暗号化スイートを使用して、TLS により保護されます。 Webex サービスは、キー ネゴシエーションに ECDHE を使用して TLS 暗号スイートを好み、たとえば、256 ビット対称暗号化キーと SHA-2 ハッシュ機能を好みます。例:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS バージョン 1.2 は Webex サービスでのみサポートされています。
リアルタイム メディア以外のすべての Webex 機能は、TLS を使用するシグナリング チャネルで起動されます。
URL を使用して Webex サービスへのシグナリング接続を確立する
プロキシを展開するか、エンタープライズ ネットワークから送信されるトラフィックをフィルタリングするためのファイアウォールがある場合、Webex サービス へのアクセスを許可する必要がある送信先 URL のリストは、「Webex サービスにアクセスする必要があるドメインと URL」に記載されています。 IP アドレスによる Webex シグナリング トラフィックのフィルタリングは、Webex により使用される IP アドレスが動的で、いつでも変更されてしまう可能性があるため、サポートされていません。
メディア トラフィック
Webex アプリと Webex Room デバイスは、次の暗号化暗号を使用して、音声、ビデオ、およびコンテンツ共有ストリームのリアルタイム メディアを暗号化します。
- AES-256-GCM 暗号化
- AES-CM-128-HMAC-SHA1-80 暗号化
AES-256-GCM は、256 ビットの暗号化鍵の最新暗号化暗号です。 AES-256-GCM は、ミーティング コンテンツを暗号化するために、ebex アプリとWebex Room デバイス* により使用されます。 * Webex アプリは AES-256-GCM を使用してすべての Webex Meetings タイプを暗号化します。 Webex Room デバイスは、Webex Meetings の Zero Trust Security 機能による S-Frame メディア ペイロードのエンドツーエンド暗号1個の化に AES-256-GCM を使用します(機能の展開は 2021 年第 1 四半期に始まります)。詳細については、「Zero-Trust Security for Webex Technical Paper」を参照してください。
AES-CM-128-HMAC-SHA1 はベンダー間の相互運用性が実証された成熟した暗号です。 AES-CM-128-HMAC-SHA1 は、SIP シグナリング(Cisco およびサードパーティの SIP デバイスなど)を持つ SRTP または SRTP を使用して、Webex サービスにメディアを暗号化するために使用されます。
UDP - シスコはメディア トランスポート プロトコルを推奨
RFC 3550 RTP (リアルタイム アプリケーションのトランスポート プロトコル) タイム アプリケーションに沿って、Cisco は すべての Webex の音声およびビデオ メディア ストリームに対するトランスポート プロトコルとして、UDP を基本設定を強くお勧めします。
TCP をメディア トランスポート プロトコルとして使用する欠点
Webex アプリと Webex Room デバイスはまた、フォールバック メディア トランスポート プロトコルとして TCP もサポートしています。 しかし、Cisco は音声とビデオ メディア ストリームのトランスポート プロトコルとして、TCP を推奨していません。 これは、TCP が接続指向であり、データを上位レイヤーのプロトコルに信頼性をもって配信し、正しく順序付けられるように設計されているためです。 TCP を使用すると、送信側は損失したパケットを確認応答されるまで再送信し、受信側は損失したパケットが回復するまでパケット ストリームをバッファします。 メディア ストリームの場合、この動作は待ち時間/ジッタの増大として現れ、通話の参加者により経験されるメディアの品質に影響します。
TLS 上のメディアは、接続指向のトランスポート プロトコルと可能性のあるプロキシ サーバーの数のために、メディア品質の劣化を受ける場合があります。Cisco は本番環境で TLS を使用してメディアを転送しない場合を強く推奨しています。
Webex メディアは、内部で開始された 5 タプル(送信元 IP アドレス、宛先 IP アドレス、送信元ポート、送信先ポート、プロトコル)のストリームを Webex Cloud に発信する対称のストリームを使用して、双方向にメディアをフローさせます。
Webex アプリと Webex Room デバイスはまた、ファイアウォール トラバーサルとメディア ノード信頼性テストにも STUN (RFC 5389) を使用します。 詳細については、「Webex ファイアウォール テクニカル ペーパー」を参照してください。
Webex – メディアの宛先 IP アドレス範囲
エンタープライズ ネットワークからメディア トラフィックを処理する Webex メディア サーバーに到達するには、これらのメディア サービスをホストする IP サブネットをエンタープライズ ファイアウォール経由で到達可能することを許可する必要があります。 Webex メディア ノードに送信されるメディア トラフィックの宛先 IP アドレス範囲は、セクション「Webex メディア サービスの IP サブネット」で確認できます。
プロキシとファイアウォールを通過する Webex トラフィック
ほとんどの顧客はインターネット ファイアウォール、またはインターネット プロキシとファイアウォールを展開し、ネットワークを出入りする HTTP ベースのトラフィックを制限し、コントロールします。 以下のファイアウォールとプロキシの指針に従って、ネットワークから Webex サービスにアクセスすることができるようにします。 ファイアウォールのみを使用している場合、IP アドレスを使用して Webex シグナリング トラフィックはサポートされていないことにご注意ください。Webex により使用される IP アドレスは動的で、いつでも変更されてしまう場合があるためです。 ファイアウォールが URL フィルタリングをサポートする場合、ファイアウォールを設定して、「Webex サービスにアクセスする必要があるドメインと URL」のセクションにリストされている Webex 宛先 URL を許可してください。
次の表では、クラウド登録の Webex アプリおよびデバイスが Webex クラウド シグナリングおよびメディア サービスと通信するために、ファイアウォールで開く必要があるポートとプロトコルを説明します。
この表で説明されている Webex アプリ、デバイス、サービスには次が含まれます:
Webex アプリ、Webex Room、ビデオ メッシュ ノード、ハイブリッド データ セキュリティ ノード、ディレクトリ コネクタ、カレンダー コネクタ、管理コネクタ、サービスアビリティ コネクタです。
SIP を使用するデバイスおよび Webex サービスのポートおよびプロトコルについては、セクション「SIP ベースの Webex サービスのネットワーク要件」を参照してください。
| Webex サービス - ポート番号とプロトコル | |||
移動先ポート | プロトコル | 説明 | ルールを使用するデバイス |
| 443 | TLS | Webex HTTPS シグナリング。 Webex サービスへのセッションの確立は、IP アドレスではなく、定義された URL に基づいています。 システムを使用している場合、プロキシ サーバーファイアウォールが DNS 解決をサポートしている場合。「Webex サービスにアクセスする必要があるドメインと URL」セクションを参照して、シグナリングが Webex サービスにアクセスできます。 | すべて |
| 444 | TLS | ビデオ メッシュ ノードのセキュアなシグナリングにより、Webex クラウドへのカスケード メディア接続を確立します | ビデオ メッシュ ノード |
| 123 (1) | UDP | ネットワーク タイム プロトコル (NTP) | すべて |
| 53 (1) | UDP TCP | ドメイン ネーム システム (DNS) DNS 検索に使用して、Webex クラウド内のサービスの IP アドレスを検索します。 ほとんどの DNS クエリーは UDP 上で行われますが、DNS クエリーはまた、TCP も使用する場合があります。 | すべて |
| 5004 ~ 9000* | SRTP over UDP | 暗号化された音声、ビデオ、および コンテンツ共有 Webex アプリと Webex Room デバイス 宛先 IP サブネットのリストについては、「Webex メディア サービスの IP サブネット」のセクションを参照してください。 *Webex アプリは UDP ポート 9000 を使用して Webex Meetings メディア サービスに接続します | Webex App* Webex Room デバイス ビデオ メッシュ ノード |
| 5004 | SRTP over TCP | Webex App および Webex Room デバイス上の暗号化コンテンツ共有に使用される TCP は、UDP を使用できない場合、暗号化された音声およびビデオのフォールバック トランスポート プロトコルとして機能します。 宛先 IP サブネットのリストについては、セクション「Webex メディア サービスの IP サブネット」を参照してください。 | Webex アプリ Webex Room デバイス ビデオ メッシュ ノード |
| 33434 (2) | TCP 上の UDP SRTP 上の SRTP | オプション ポート 33434 は、ポート 5004 がブロックされている場合に暗号化されたメディアに使用されます。 ポート 33434 の TCP ソケットは確立されますが、接続がポート 5004 で TCP と UDP およびポート 33434 での UDP でフェイルオーバーする場合にのみ使用されることにご注意ください。 (2) 宛先 IP サブネットのリストについては、セクション「Webex メディア サービスの IP サブネット」を参照してください。 | Webex アプリ Webex Room デバイス |
| 443 (2) | SRTP over TLS | UDP および TCP を使用できない場合、暗号化音声、ビデオ、およびコンテンツ共有に対するフォールバックとして使用されます。 本番環境では TLS 上のメディアは推奨されません。 宛先 IP サブネットのリストについては、セクション「 Webex メディア サービスの IP サブネット」を参照してください。 | Webex アプリ (3) Webex Room デバイス |
(2) ポート 33434 で UDP/TCP 上の暗号化されたメディア トラフィック用にファイアウォールを開くことの推奨は廃止されました。 しかし、ポート 5004 が開いていない場合、Webex これらのポートを引き続きプローブし、使用します。
(3) Webex ウェブベース アプリおよび Webex SDK は TLS 上のメディアをサポートします。
ファイアウォールを構成して、Webex アプリとデバイスからのメディア ストリームのこれらの宛先 Webex IP サブネットとトランスポート プロトコル ポートへのアクセスを許可します。 UDP はメディアに対して Cisco により優先されるトランスポート プロトコルであり、メディアの転送には UDP のみを使用することを強く推奨します。 Webex アプリとデバイスは、メディアのトランスポート プロトコルとして TCP および TLS もサポートしていますが、これらのプロトコルの接続指向の性質は、ロス ネットワーク上のメディア品質に重大な影響を与える可能性があるとして、実稼働環境では推奨されていません。
メモ: 以下の IP サブネットは、Webex メディア サービス用です。 IP アドレスによる Webex シグナリング トラフィックのフィルタリングは、Webex により使用される IP アドレスが動的で、いつでも変更されてしまう可能性があるため、サポートされていません。 Webex サービスへの HTTP シグナリング トラフィックは、ファイアウォールに転送される前に、エンタープライズ プロキシ サーバーの URL/ドメインによってフィルタリングすることができます。
| 3.22.157.0/26 | 18.181.204.0/25 | 69.26.160.0/19 |
| 3.25.56.0/25 | 18.230.160.0/25 | 114.29.192.0/19 |
| 3.101.70.0/25 | 20.50.235.0/24* | 150.253.128.0/17 |
| 3.101.71.0/24 | 20.53.87.0/24* | 170.72.0.0/16 |
| 3.101.77.128/28 | 20.68.154.0/24* | 170.133.128.0/18 |
| 3.235.73.128/25 | 23.89.0.0/16 | 173.39.224.0/19 |
| 3.235.80.0/23 | 40.119.234.0/24* | 173.243.0.0/20 |
| 3.235.122.0/24 | 44.234.52.192/26 | 207.182.160.0/19 |
| 3.235.123.0/25 | 52.232.210.0/24* | 209.197.192.0/19 |
| 18.132.77.0/25 | 62.109.192.0/18 | 210.4.192.0/20 |
| 18.141.157.0/25 | 64.68.96.0/19 | 216.151.128.0/19 |
| 18.181.18.0/25 | 66.114.160.0/20 | |
| 18181178128/25 | 66.163.32.0/19 | |
Webex アプリと Webex Room デバイスは、組織が利用可能な各メディア クラスターのノードの到達可能性および往復時間を検出するためのテストを実行します。 メディア ノードの到達可能性は、UDP、TCP、、および TLS トランスポート プロトコルでテストされ、起動、ネットワーク変更、およびアプリまたはデバイスの実行中に定期的に発生します。 これらのテスト結果は Webex アプリ/ Webex デバイスに保存され、ミーティングまたはコールに参加する前に Webex クラウドに送信されます。 Webex クラウドはこれら到達可能性テストの結果を使用して、Webex アプリ/ Webex デバイスにトランスポート プロトコル (UDP 優先)、往復時間、および メディア サーバー リソース可用性に基づいて、コールに最適な メディア サーバーを割り当てることができます。
上記の IP サブネットの一部にのみトラフィックを許可するようにファイアウォールを構成している場合、これらのブロックされた IP サブネットのメディア ノードに到達しようとして、ネットワークをトラバーサルする到達可能性テスト トラフィックが表示された場合があります ファイアウォールによってブロックされている IP サブネット上のメディア ノードは、Webex アプリおよび Webex Room デバイスにより使用されません。
Cisco は、特定の地理的領域またはクラウド サービス プロバイダーに基づいて IP アドレスのサブセットをフィルタリングすることをサポートしないか、推奨しません。 地域によるフィルタリングは、ミーティング全体に参加できなくすることを含む、ミーティングのエクスペリエンスの重大な劣化を生じさせます。
Webex シグナリング トラフィックとエンタープライズ プロキシの構成
ほとんどの組織は、ネットワークから発信される HTTP トラフィックを検査し、コントロールするためサーバに、プロキシ サーバーを使用します。 プロキシは、特定の URL へのアクセスの許可またはブロック、ユーザー認証、IP アドレス/ドメイン/ホスト名/URI 評価の検索、トラフィックの解読と検査など、いくつかのセキュリティ機能を実行するために使用できます。 プロキシサーバーは一般的に、HTTP ベースのインターネット宛先のトラフィックをエンタープライズ ファイアウォールに転送できる唯一のパスとしても使用され、ファイアウォールは送信インターネット トラフィックをプロキシ サーバーからのみ発信するトラフィックに制限することができます。 プロキシ サーバーは、Webex シグナリング トラフィックが以下のセクションにリストされているドメイン/URL にアクセスするように設定されている必要があります。
Cisco Webex サービス URL | ||
ドメイン/ URL | 説明 | これらのドメイン/URL を使用した Webex アプリとデバイス |
| *.wbx2.com *.ciscospark.com | Webex マイクロ サービス。 例: メッセージング サービス ファイル管理サービス キー管理サービス ソフトウェア アップグレード サービス プロファイル画像サービス ホワイトボード サービス 隣接接続サービス プレゼンス サービス 登録サービス カレンダー サービス 検索サービス | すべて |
| *.webex.com *.cisco.com | Webex Meetings サービス アイデンティティ プロビジョニング アイデンティティ ストレージ 認証 Oauth サービス デバイス オンボード Cloud Connected UC | すべて |
| *.webexcontent.com (1) | Webex メッセージング サービス - 一般的なファイル ストレージ: ユーザー ファイル、 トランスコード ファイル、 画像、 スクリーンショット、 ホワイトボード コンテンツ、 クライアントとデバイスのログ、 プロファイル画像、 ブランディング ロゴ、 ログ ファイル 一括 CSV エクスポート ファイルとファイルのインポート(Control Hub) | すべての メモ: 2019 年 10 月に webexcontent.com を使ったファイル ストレージが clouddrive.com に置き換えられました。 組織は引き続き cloudrive.com を使用して古いファイルを保存している可能性があります。詳細については、(1)を参照してください |
追加の Webex 関連サービス - Cisco が所有するドメイン | ||
URL | 説明 | これらのドメイン/URL を使用した Webex アプリとデバイス |
| *.accompany.com | ユーザーの総合情報のインテグレーション | Webex アプリ |
追加の Webex 関連サービス – サード パーティ ドメイン | ||
URL | 説明 | これらのドメイン/URL を使用した Webex アプリとデバイス |
| *.sparkpostmail1.com *.sparkpostmail.com | メール サービス (ニュースレター用),登録情報,アナウンス | すべて |
| *.giphy.com | ユーザーが GIF 画像を共有できるようにします。 この機能は、デフォルトでオンになっていますが、Control Hub で無効にすることができます | Webex アプリ |
| safebrowsing.googleapis.com | メッセージ ストリームで URL を展開する前に、URLの安全性チェックを実行するために使用されます。 この機能は、デフォルトでオンに、なっていますが、Control Hub で無効にすることができます | Webex アプリ |
| *.walkme.com s3.walkmeusercontent.com | Webex アプリ ユーザー ガイド クライアント。 新規ユーザーにオンボーディングおよび使用法のツアーを提供 詳細は、次を参照してください。 https://support.walkme.com/knowledge-base/access-requirements-for-walkme/ | Webex アプリ |
speech.googleapis.com | Google スピーチ サービス。 Webex Assistant が音声認識とテキスト読み上げを取り扱うために使用されます。 デフォルトにより無効。Control Hub によりオプトインされます。 Assistant はデバイスごとに無効にすることもできます。 | Webex Room Kit および Webex Room デバイス Webex Assistant をサポートする Webex Room デバイスの詳細は、ここに記載されています。 https://help.webex.com/hzd1aj/Enable-Cisco-Webex-Assistant |
| msftncsi.com/ncsi.txt captive.apple.com/hotspot-detect.html | ネットワーク接続があるが、インターネットに接続されていない事例を識別するためのサードパーティのインターネット接続性チェック。 Webex アプリ は、独自のインターネット接続性チェックをしますが、これらのサードパーティの URL をフォールバックとして使用することもできます。 | Webex アプリ |
| *.appdynamics.com *.eum-appdynamics.com | パフォーマンス トラッキング、エラーおよびクラッシュ キャプチャ、セッション メトリックス(3) | Webex アプリ Webex ウェブ アプリ |
| *.amplitude.com | A/B テストおよび測定 (3) | Webex ウェブ アプリ Webex Android アプリ |
| *.vbrickrev.com | このドメインは Webex Events ウェブキャストで視聴する出席者により使用されます | Webex Events |
| *.slido.com *.sli.do *.data.logentries.com | Slido PPT アドインに使用され、Slido ウェブページでプレミーティングの投票やクイズの作成を可能にします | すべて |
| *.quovadisglobal.com *.digicert.com *.godaddy.com *.identrust.com *.lencr.org | これらの認証機関から証明書失効リストを要求するために使用される 注意 - Webex は CRL および OCSP stapling の両方をサポートし、証明書の失効ステータスを 決定します。 OCSP の停滞では、Webex アプリおよびデバイスは、これらの認証局に連絡する必要がありません。 | すべて |
| コア Webex サービスのサービス廃止(2) | ||
| URL | 説明 | これらのドメイン/URL を使用した Webex アプリとデバイス |
| *.clouddrive.com | Webex メッセージング ファイル ストレージ 2019 年 10 月に webexcontent.com を使ったファイル ストレージが clouddrive.com に置き換えられました。 組織は引き続き cloudrive.com を使用して古いファイルを保存している可能性があります。詳細については、(1)を参照してください | すべて |
| *.ciscosparkcontent.com | ログ ファイルのアップロード ログ ファイルのストレージサービスは現在、*.webexcontent.com ドメインを使用しています | Webex アプリ |
| *.rackcdn.com | *.Clouddrive.com ドメインのコンテンツ配信ネットワークドメイン(CDN) | すべて |
(1) 2019 年 10 月以降、ユーザーファイルはアップロードされ、Cisco 管理対象 webexcontent.com ドメインに保存されます。
2019年10月までにアップロードされたファイルは、組織の保持期間に達するまで(その時点で削除されます)、clouddrive.com ドメインに残され、Webex アプリからアクセスできます。 この期間中に、(新しいファイルの場合は)webexcontent.com ドメインに、(古いファイルの場合は) clouddrive.com の両方にアクセスする必要があります。
webexcontent.com ドメインだけを使用させる場合: clouddrive.com ドメインに(あなた、または参加組織によって)アップロードされ、保存された古いファイルは、あなたがメンバーになっている Webex メッセージ スペースでの表示およびダウンロードができなくなります。
clouddrive.com ドメインのみを使用させる場合: スペースに参加している別の組織によって、webexcontent.com ドメインにアップロードされたり保存された新しいファイルは、取得できなくなります。
(2) 新規顧客 (2019 年 10 月以降) は、Webex でファイル ストレージに使用しなくなったためにこれらのドメインを削除することを選択できます。 ただし、必要なファイルを保存するために clouddrive.com ドメインを使用している別の組織により所有されているスペースに参加する場合(ファイルは 2019)。(2019 年 10 月以前にアップロードされています)、clouddrive.com ドメインへのアクセスを許可することが必要になるのでご注意ください。
(3) Webex はデータ収集の診断およびトラブルシューティングのためにサードパーティを使用します。クラッシュと使用状況メトリックスの収集です。 これらのサードパーティのサイトに送信されるデータは、Webex プライバシー データシートに記載されます。 詳細については次を参照してください。
Cisco Webex ハイブリッド サービス URL | ||
URL | 説明 | 使用者: |
| *.docker.com (1) *.docker.io (1) | ハイブリッド サービスのコンテナー | ビデオ メッシュ ノード ハイブリッド データ セキュリティ ノード |
| *s3.amazonaws.com (1) | ログ ファイルのアップロード | ビデオ メッシュ ノード ハイブリッド データ セキュリティ ノード |
| *.cloudconnector.webex.com | ユーザー同期 | ハイブリッド サービス ディレクトリ コネクタ |
(1) ハイブリッド サービス コンテナーでの *.docker.com および *.docker.io の使用を次第に終了し、最終的に *.amazonaws.com と置き換える予定になっています。
注意: Cisco Web Security Appliance (WSA) プロキシを使用していて、Webex サービスで使用される URL を自動的にアップデートしたい場合は、AsyncOS for Cisco Web Security で Webex サービス外部フィードを展開する方法についての指針である「WSA Webex サービス設定マニュアル」を参照してください。
Webex サービス URI のリストを含む CSV ファイルについては、次を参照してください。 Webex サービス CSV ファイル
プロキシ サーバーは、Webex シグナリング トラフィックが以下前のセクションでリストされているドメイン/URL にアクセスするように設定されている必要があります。 Webex サービスに関連する追加のプロキシ機能のサポートは、以下に説明されています。
プロキシ認証サポート
プロキシはアクセス コントロール デバイスとして使用され、ユーザー/デバイスがプロキシに対して有効なアクセス権限資格情報を提供するまで、外部リソースへのアクセスをブロックします。 プロキシでは、基本認証、ダイジェスト認証、(Windows ベース) NTLM、Kerberos およびネゴシエーション (NTLM フォールバックによる Kerberos) などのプロキシによりサポートされているいくつかの認証方法があります。
下表の中の「認証なし」の場合、デバイスはプロキシ アドレスで構成できますが、認証をサポートしません。 プロキシ認証が使用されるとき、有効な資格情報が設定され、Webex アプリの OS または Webex Room デバイスに保管される必要があります。
Webex Room デバイスと Webex アプリの場合、プロキシ アドレスはプラットフォーム OS またはデバイス UI を通して手動で構成するか、次のようなメカニズムを使用して自動的に検出されます。
(ウェブ プロキシ自動検出 (WPAD) および/またはプロキシ自動設定 (PAC) ファイル:
- https://www.cisco.com/c/en/us/td/docs/security/web_security/connector/connector3000/WPADAP.html
- https://www.cisco.com/c/en/us/td/docs/security/web_security/connector/connector2972/PACAP.html
製品 | 認証タイプ | プロキシの設定 |
| Mac 版 Webex | 認証なし、基本、NTLM (1) | 手動、WPAD、PAC |
| Windows 版 Webex | 認証なし、基本、NTLM(2)、ネゴシエート | 手動、WPAD、PAC、GPO |
| iOS 版 Webex | 認証なし、基本、ダイジェスト、NTLM | 手動、WPAD、PAC |
| Android 版 Webex | 認証なし、基本、ダイジェスト、NTLM | 手動、PAC |
| Webex Web アプリ | 認証なし、基本、ダイジェスト、NTLM、ネゴシエート | OS 経由でサポート |
| Webex Room デバイス | 認証なし、基本、ダイジェスト | WPAD、PAC、または手動 |
| Webex ビデオ メッシュ ノード | 認証なし、基本、ダイジェスト、NTLM | 手動 |
| ハイブリッド データ セキュリティ ノード | 認証なし、基本、ダイジェスト | 手動 |
| ハイブリッド サービス ホスト マネジメント コネクタ | 認証なし、基本 | 手動設定 Expressway C: アプリケーション > ハイブリッド サービス > コネクタ プロキシ |
| ハイブリッド サービス: Directory Connector | 認証なし、基本、NTLM | Windows OS 経由でサポート |
| ハイブリッド サービス Expressway C: Calendar Connector | 認証なし、基本、NTLM | 手動設定 Expressway C: [アプリケーション] > [ハイブリッド サービス] > [コネクタ プロキシ: ユーザー名 パスワード] [Expressway-C:] [アプリケーション] > [ハイブリッド サービス] > [カレンダー コネクタ] > [Microsoft Exchange] > [Basic および/または NTLM] |
| ハイブリッド サービス Expressway C: Call Connector | 認証なし、基本 | 手動設定 Expressway C: アプリケーション > ハイブリッド サービス > コネクタ プロキシ |
(1): Mac NTLM 認証 - マシンはドメインにログオンする必要はなく、ユーザーは 1 つのパスワードの入力を指示されます
(2): Windows NTLM 認証 - 1 つのマシンがドメインにログオンする場合にのみサポートされます
プロキシ 検査および証明書ピニング
Webex アプリと Webex デバイスは、TLS セッションを確立するサーバーの証明書を検証します。 証明書は、証明書の発行者とデジタル署名が、ルート証明書まで証明書のチェーンを検証することなどに依存していることを確認します。 これらの検証チェックを実施するには、アプリまたはデバイスはオペレーティング システムの信頼ストアにインストールされている信頼できるルート CA 証明書のセットを使用します。
Webex トラフィックをインターセプト、解読、検査するために TLS 検査プロキシを展開した場合、プロキシが提示する証明書(Webex サービス 証明書の中で)が、Webex アプリまたは Webex デバイスの信頼ストアにインストールされているルート証明書 の証明機関によって署名されていることを確認してください。 Webex アプリの場合、プロキシにより使用される証明書に署名するために使用される CA 証明書はデバイスのオペレーティング システムにインストールされる必要があります。 Webex Room デバイスについては、TAC のサービスリクエストを開き、この CA 証明書を RoomOS ソフトウェアにインストールします。
プロキシ サーバーによる TLS 検査に対する Webex アプリと Webex デバイスのサポートを次の表に示します
製品 | TLS 検査のためのカスタムの信頼性のある CA をサポートします |
| Webex アプリ (Windows、Mac、iOS、Android、ウェブ) | Yes* |
| Webex 会議室デバイス | はい |
| Cisco Webex ビデオ メッシュ | はい |
| ハイブリッド データ セキュリティ サービス | はい |
| ハイブリッド サービス – ディレクトリ、カレンダー、管理コネクタ | いいえ |
* メモ - Webex アプリは、「webex.com」ドメイン内の Webex Meetings サービスの TLS セッションの解読と検査を行いません。 2021 年第 3 四半期には Webex Meetings サービスの TLS 検査のサポートが計画されています。
製品 | 802.1X をサポート | 注 |
| Webex アプリ (Windows、Mac、iOS、Android、ウェブ) | はい | OS 経由でサポート |
| Webex 会議室デバイス | はい | EAP-FAST EAP-MD5 EAP-PEAP EAP-TLS EAP-TTLS GUI または Touch 10 経由で 801.2X を構成します HTTP インターフェイス経由で証明書のアップロード |
| ビデオ メッシュ ノード | いいえ | MAC アドレス バイパス |
| ハイブリッド データ セキュリティ サービス | いいえ | MAC アドレス バイパス |
| ハイブリッド サービス – ディレクトリ、カレンダー、管理コネクタ | いいえ | MAC アドレス バイパス |
Webex クラウドは、コール制御プロトコルとして SIP を使用して、Webex Meetings およびクラウドに登録された Webex アプリおよび Webex Room デバイスとのダイレクト(1 対 1)コールに対して着信と発信をサポートします。
Webex Meetings の SIP コール
Webex Meetings は SIP アプリとデバイスを持つ参加者が、次のどちらかでミーティングに参加することを許可します。
- ミーティングの SIP URI のコール(例: meetingnumber@webex.com) または
- 参加者が指定した SIP URI をコールする Webex クラウド (例: my-device@customer.com)
SIP アプリ/デバイスとクラウド登録された Webex アプリ/Webex Room デバイスとの間のコール
Webex クラウドでは、SIP アプリとデバイスのユーザーが次のことを行うことを許可します。
- クラウド登録された Webex アプリと Webex Room デバイスによりコールを受ける
- クラウド登録された Webex アプリと Webex Room デバイスをコールする
上記のどちらの場合も、SIP アプリとデバイスは Webex クラウドとの間でセッションを確立する必要があります。 SIP アプリまたはデバイスは、SIP ベースのコール制御アプリケーション (Unified CM など) に登録されます。これは通常、Webex Cloud へのインバウンドとアウトバウンドのコールを許可する Expressway C および E への SIP トランク接続があります。
SIP アプリとデバイスには次のものがあります。
- Unified CM に登録するために SIP を使用した Webex Room デバイス
- SIP を使用して Unified CM に登録するために SIP を使用する Cisco IP Phone、または Webex Calling サービス
- サードパーティ SIP コール制御アプリケーションを使用するサードパーティ SIP アプリまたはデバイス
以下の表は、Webex SIP サービスへのアクセスに必要なポートとプロトコルを示しています。
| Webex SIP サービスのポートとプロトコル | |||
| ソースポート | 移動先ポート | プロトコル | 説明 |
| Expressway の一時的なポート | Webex Cloud 5060~5070 | SIP over TCP/TLS/MTLS | EXPRESSWAY E から Webex Cloud への SIP シグナリング トランスポート プロトコル: TCP/TLS/MTLS |
| Webex Cloud 一時的ポート | Expressway 5060~5070 | SIP over TCP/TLS/MTLS | Webex Cloud から EXPRESSWAY E への SIP シグナリング トランスポート プロトコル: TCP/TLS/MTLS |
| Expressway 36000~59999 | Webex Cloud 49152~59999 | RTP/SRTP over UDP | Expressway E から Webex Cloud への暗号化されていない/暗号化されたメディア メディア トランスポート プロトコル: UDP |
| Webex Cloud 49152~59999 | Expressway 36000~59999 | RTP/SRTP over UDP | Webex Cloud から Expressway E への暗号化されていない/暗号化されたメディア メディア トランスポート プロトコル: UDP |
Expressway E と Webex Cloud の間の SIP 接続は、TCP を使用する暗号化されていないシグナリングと、TLS または MTLS を使用する暗号化されたシグナリングをサポートしています。 暗号化された SIP シグナリングは、接続に進む前に Webex Cloud と Expressway E 間で交換される証明書を検証することができる場合に推奨されます。
Expressway は、Webex Cloud への SIP コールと他の組織への B2B SIP コールを有効にするために一般的に使用されます。 ファイアウォールを構成して以下を許可します。
- Expressway E ノードからのすべてのアウトバウンド SIP シグナリング トラフィック
- Expressway E ノードへのすべてのインバウンド SIP シグナリング トラフィック
Webex Cloud の間のインバウンドおよびアウトバウンド SIP シグナリングおよび関連するメディア トラフィックを制限する場合。 ファイアウォールを設定して、Webex メディアの IP サブネット、および次の AWS リージョンへのトラフィックを許可します(セクション「Webex メディア サービスの IP サブネット」を参照)。 us-east-1、us-east-2、eu-central-1、us-gov-west-2、us-west-2 これらの AWS リージョンの IP アドレス範囲を以下に示します。 https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html
* AWS がサブネットの IP アドレス範囲に定期的に変更を加えるので、このウェブページは瞬時に更新されません。 AWS IP アドレス範囲の変更を動的に追跡するために、Amazon は次の通知サービスをサブスクライブお勧めします。 https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html#subscribe-notifications
SIP ベースの Webex サービスのメディアは、Webex メディアに同じ宛先 IP サブネットを使用します (ここにリスト)
| プロトコル | ポート番号 | 説明 | アクセスタイプ | 件のコメント |
| TCP | 5061, 5062 | 受信 | SIP シグナリング | Webex Edge 音声のインバウンド SIP 信号方式 |
| TCP | 5061, 5065 | 発信 | SIP シグナリング | Webex Edge 音声の発信 SIP 信号方式 |
| TCP/UDP | 一時的ポート 8000 ~ 59999 | 受信 | メディア ポート | エンタープライズ ファイアウォールでは、8000 ~ 59999 の1 個のポート範囲を持つ Expressway への受信メディア トラフィックに対して、ピンホールを開く必要があります。 |
Cisco Webex ビデオ メッシュ
Cisco Webex ビデオ メッシュは、ネットワーク上でローカルのメディア サービスをを提供します。 すべてのメディアを Webex Cloud に送信する代わりに、インターネット帯域幅の使用量を削減し、メディアの品質を向上させるため、ネットワークに残すこともできます。 詳細については、Cisco Webex ビデオ メッシュ 展開ガイド を参照してください。
ハイブリッド カレンダー サービス
ハイブリッド カレンダー サービスは、Microsoft Exchange、Office 365 または Google Calendar を Webex に接続し、モバイルを使用するとき、容易にミーティングを予定し、参加できるようにします。
詳細については次を参照してください。 Webex ハイブリッド カレンダー サービス展開ガイド
ハイブリッド ディレクトリ サービス
Cisco Directory Connector は Webex Cloud に対して同期を識別するオンプレミス アプリケーションです。 自動的にかつア安全にエンタープライズのディレクトリ連絡先をクラウドに拡張して、正確さと一貫性のために同期を維持するための簡単な管理プロセス提供します。
詳細については次を参照してください。 Cisco Directory Connector の展開ガイド
Webex ハイブリッド サービスの優先アーキテクチャ
Cisco Webex ハイブリッド サービスの優先アーキテクチャは、ハイブリッド アーキテクチャ全体、コンポーネント、および一般的な設計のベスト プラクティスを説明しています。 参照: Webex ハイブリッド サービスの優先アーキテクチャ
Webex Calling - ネットワーク要件
Webex Meetings を使用した Webex Calling およびメッセージングサービスも展開している場合、Webex Calling サービスのネットワーク要件についてはこちらをご覧ください: https://help.webex.com/b2exve/Port-Reference-Information-for-Cisco-Webex-Calling
Webex FedRAMP サービスの IP アドレスの範囲とポートに関する一覧が必要なお客様
この情報についてはこちらをご覧ください。 https://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cloudCollaboration/WebexforGovernment/FedRAMP_Meetings_Ports_IP_Ranges_Quick_Reference.pdf
改訂日 | 新機能および変更された機能に関する情報 |
| 2021/07/02 | *.s3.amazonaws.com を *s3.amazonaws.com に変更しました |
| 2021/06/30 | Webex ハイブリッド サービス リストの追加 URL を更新しました。 |
| 2021/06/25 | リストに *.appdynamics.com ドメインを追加しました。 |
| 2021/06/21 | *.lencr.org ドメインをリストに追加しました。 |
| 2021/06/17 | Webex SIP サービスの表のポートとプロトコルを更新しました |
| 2021/06/14 | Webex SIP サービスの表のポートとプロトコルを更新しました |
| 2021/05/27 | Webex ハイブリッド サービス セクションの追加 URL の表を更新しました。 |
| 2021/04/28 | Slido PPT アドインにドメインを追加し、Slido ウェブページでプレミーティングの投票やクイズの作成を可能にしました |
| 2021/04/27 | Webex Edge 音声に 23.89.0.0/16 IP 範囲を追加しました |
| 2021/04/26 | Azure サブネットとして 20.68.154.0/24* を追加しました |
| 2021/04/21 | Webex ハイブリッドサービスの追加 URL で Webex サービスの CSV ファイルを更新しました |
| 2021/04/19 | VIMT/CVI の Azure DC として 20.53.87.0/24* を追加しました |
| 2021/04/15 | Webex Events ウェブキャストに対して *.vbrickrev.com を追加しました。 |
| 2021/03/30 | 大幅なマニュアルのレイアウト改訂。 |
| 2021/03/30 | Webex ウェブベース アプリと Webex SDK メディア サポートの詳細が追加されました (TLS 上のメディアはありません)。 |
| 2021/03/29 | ドキュメントへのリンクとともにリストされたデバイス機能の Webex Edge。 |
| 2021/03/15 | ドメイン *.identrust.com を追加しました |
| 2021/02/19 | FedRAMP 顧客向けの Webex サービスのセクションが追加されました |
| 2021/01/27 | *.cisco.com ドメインが Cloud Connected UC サービスに追加されました。Microsoft Teams のビデオ統合に関する Webex Calling オンボーディング IP サブネット(別称:Microsoft Cloud Video Interop)は次で表示されます*: |
| 2021/01/05 | Webex アプリ Meetings およびメッセージング サービスのネットワーク要件を説明した新しいドキュメント |
| 2020/11/13 | メディアテーブルの IP サブネットからhttps://155.190.254.0/23サブネットを削除しました |
| 2020/10/07 | Webex Teams ハイブリッド サービスの追加 URL から *.cloudfront.net 行を削除しました |
| 2020/09/29 | 新しい IP サブネット (20.53.87.0/24) が Webex Teams メディア サービスに追加されました |
| 2020/09/29 | Webex デバイスを Webex Room デバイスに名前変更しました |
| 2020/09/29 | *.core-os.net URL が表から削除されました: Webex Teams ハイブリッド サービスの追加 URL |
| 2020/09/07 | AWS リージョンの更新リンク |
| 2020/08/25 | メディアの Webex Teams IP サブネットの表およびテキストの簡素化 |
| 2020/08/10 | メディア ノードへの到達可能性がテストされ、Webex Edge Connect で Cisco IP サブネットの使用状況に関する詳細が追加されました |
| 2020/07/31 | AWS および Azure データセンターのメディア サービスに新しい IP サブネットが追加されました |
| 2020/07/31 | Webex Teams クラウドへの SIP コール用に新しい UDP 宛先メディア ポートが追加されました |
| 2020/07/27 | 170.72.0.0/16 (CIDR) または 170.72.0.0 - 170.72.255.255 (ネット範囲) を追加しました |
| 2020/05/05 | サードパーティのドメインテーブルで sparkpostmail.com が追加されました |
| 2020/04/22 | 新規 IP 範囲 150.253.128.0/17 の追加 |
| 2020/03/13 | walkme.com サービスに新しい URL が追加されました Room OS デバイスの TLS メディアトランスポートが追加されました 新しいセクション: Hybrid Calling SIP シグナリングのためのネットワーク要件が追加されました Webex Calling ネットワーク要件ドキュメントにリンクが追加されました |
| 2019/12/11 | マイナーなテキストの変更、Webex Teams アプリとデバイスの更新 – ポート番号とプロトコル テーブル、Webex Teams URL テーブルの更新と再書式設定。 Management Connector と Call Connector ハイブリッド サービスの NTLM Proxy Auth を削除する |
| 2019/10/14 | 追加された会議室デバイスの TLS 検査サポート |
| 2019/09/16 | TCP を転送プロトコルとして使用する DNS システムの TCP サポート要件の追加。 URL の追加 *. walkme.com –このサービスは、新しいユーザーにオンボードと使用のツアーを提供します。 Web Assistant によって使用されるサービス URL を修正します。 |
| 2019/08/28 | *.sparkpostmail1.com URL が追加されました ニュースレター、登録情報、アナウンスに対するメール サービス |
| 2019/08/20 | ビデオ メッシュ ノードおよびハイブリッド データ セキュリティ サービスのためのプロキシサポートが追加されました |
| 2019/08/15 | Webex Teams サービスに使用される Cisco および AWS データセンターの概要。 *.webexcontent.com URL がファイルストレージに追加されました ファイルストレージ用の clouddrive.com が廃止されたことに注意してください メトリックとテスト用に *.walkme.com URL が追加されました |
| 2019/07/12 | *.activate.cisco.com および *.webapps.cisco.com URL が追加されました 音声合成 URL が *.speech-googleapis.wbx2.com および *.texttospeech-googleapis.wbx2.com に更新されました *.quay.io URL が削除されました ハイブリッド サービス コンテナ URL を *.amazonaws.com に更新しました |
| 2019/06/27 | People Insights 機能のために、*.accompany.com の許可リストリスト要件が追加されました |
| 2019/04/25 | TLS バージョン サポートに関する行に「Webex Teams サービス」を追加しました。 メディア トラフィックの下のメディア ストリーム行に「Webex Teams」を追加しました。 メディア セクションの Webex Teams IP サブネットの地域の前に「地理的」を追加しました。 言葉遣いを若干変更しました。 A/B テストとメトリックスの更新と Google スピーチ サービスの追加により、Webex Teams URL テーブルを編集しました。 「Webex Teams ハイブリッド サービスの追加 URL」で、AsyncOS の後の「10.1」バージョン情報を削除しました。 「プロキシ認証サポート」セクションのテキストを更新しました。 |
| 2019/03/26 | 「WSA Webex Teams 設定ガイド マニュアルを参照してください」でリンクされた URL を https://www.cisco.com/c/dam/en/us/products/collateral/security/web-security-appliance/guide-c07-739977.pdf から https://www.cisco.com/c/en/us/td/docs/security/wsa/wsa11-5/user_guide/b_WSA_UserGuide_11_5_1.html に変更しました URL「api.giphy.com」を「*.giphy.com」に変更しました |
| 2019/02/21 | BroadCloud を通じた同盟の Webex 通話という製品が今後発売されるため、John Costello によるリクエストとして「Webex 通話」を「Webex 通話」(以前の Spark 通話)としました。 |
| 2019/02/06 | 「Hybrid メディア ノード」を「Webex ビデオ メッシュ ノード」に更新しました。 |
| 2019/01/11 | 「End to End encrypted files uploaded to Webex Teams spaces and Avatar storage」を「End to End encrypted files uploaded to Webex Teams spaces, Avatar storage, Webex Teams branding Logos」に更新しました |
| 2019/01/09 | 次の行を削除するために更新しました。 「*TLS 検査プロキシで通信を有効化するために必要な CA 証明書を取得するために、Webex Room デバイスを注文する場合、CSM にご連絡いただく、か、Cisco TAC に情報をお知らせください。」 |
| 2018 年 12 月 5 日 | URL の更新: Webex Teams URL 表の 4 つの エントリから「https://」を削除しました。 https://api.giphy.com -> api.giphy.com https://safebrowsing.googleapis.com -> safebrowsing.googleapis.com http://www.msftncsi.com/ncsi.txt -> msftncsi.com/ncsi.txt https://captive.apple.com/hotspot-detect.html -> captive.apple.com/hotspot-detect.html
|
| 2018 年 11 月 30 日 | 新しい URL: *.ciscosparkcontent.com、 *.storage101.ord1.clouddrive.com、 *.storage101.dfw1.clouddrive.com、 *.storage101.iad3.clouddrive.com、https://api.giphy.com, https://safebrowsing.googleapis.com, http://www.msftncsi.com/ncsi.txt, https://captive.apple.com/hotspot-detect.html, *.segment.com、*.segment.io、 *.amplitiude.com、*.eum-appdynamics.com、*.docker.io、*.core-os.net、*.s3.amazonaws.com、*.identity.api.rackspacecloud.com |
| Windows、iOS および Android の追加のプロキシ認証メソッドのサポート | |
| Webex Board は Room デバイス OS と機能を採用します。Room デバイスにより共有されるプロキシの機能: SX、DX、MX Room Kit シリーズおよび Webex Board | |
| iOS および Android アプリによる TLS 検査のサポート | |
| Room デバイスで削除される TLS 検査のサポートの削除: SX、DX、MX Room Kit シリーズおよび Webex Board | |
| Webex Board は Room デバイス OS と機能を採用します。802.1X サポート | |
| 2018 年 11 月 21 日 | 以下の注記がメディア セクションの IP サブネットに追加されました。クラウド メディア リソースに対する上記の IP 範囲リストは、すべてを網羅するものではなく、上記のリストに含まれていない Webex Teams で使用されるその他の IP 範囲が存在する場合があります。 しかし、Webex Teams アプリとデバイスは、リストされていないメディア IP アドレスに接続しなくても、通常に機能することができます。 |
| 2018 年 10 月 19 日 | 追加されたメモ: Webex Teams はデータ収集の診断およびトラブルシューティングのためにサードパーティを使用します。クラッシュと使用メトリックスの収集です。 これらのサードパーティのサイトに送信されるデータは、Webex Privacy データシートに記載されます。 詳細については次を参照してください。 https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-webex-privacy-data-sheet.pdf |
| ハイブリッド サービスにより使用される追加 URLの別の表: *.cloudfront.net、*.docker.com、*.quay.io、*.cloudconnector.cisco.com、*.clouddrive.com | |
| 2018 年 8 月 7 日 | ポートとプロトコル表に追加される注記: ローカルの NTP および DNS サーバーをビデオ メッシュ の度の OVA で構成する場合、ポート 53 および 123 はファイアウォールを通過するようにオープンにする必要はありません。 |
| 2018 年 5 月 7 日 | 大幅なマニュアル改訂 |
Join the conversation
