Webex Teams サービスのネットワーク要件
この記事の原文は英語で書かれており、機械翻訳されています。 英語から多言語への機械翻訳の精度、正確性、または信頼性に関しては、明示的にも、暗黙にも、いかなるタイプの保証も行いません。 Cisco はこの内容の不適切な翻訳または情報の使用により生じた、不正確な情報、誤り、損害に対して責任を負いません。
Webex Teams サービスのネットワーク要件マニュアルの改訂履歴 この記事は、ネットワーク管理者、特にファイアウォール、プロキシとウェブ セキュリティ管理者を想定しています。 ネットワークを構成して Webex Teams をサポートするのに役立ちます。 従来の Webex Meetings クライアントのネットワーク要件については、「WBX264 - マイ ネットワークで Webex Meetings トラフィックを許可するには?」を参照してください。 Webex Teams ネットワーク要件すべての Webex Teams とデバイスは、アウトバウンド接続のみを開始します。 Cisco の Webex Cloud は Webex Teams アプリとデバイスへの接続を開始することはありません。 Webex Teams サービスは世界中に分散されたデータセンターでホストされており、Cisco が所有する (ID サービス、キー管理サービス、メディアサーバーのための Webex データセンター)、または Amazon AWS プラットフォームの Cisco 仮想プライベートクラウド (VPC) でホストされます (例: Webex Teams ミクロサービス、メッセージ、ファイル ストレージ サービス)。 すべてのデータは、転送中および保存中に暗号化されます。 トラフィックのタイプWebex Teams アプリとデバイスは、シグナリングとメディアの 2 つのタイプトラフィックを使用しますシグナリング トラフィック Webex Teams アプリとデバイスは、シグナリングのための HTTPS と WSS (セキュアなウェブソケット)。 シグナリング接続はアウトバウンドのみで、セッションの確立のためには URL (IP アドレスではなく) を使用します。
シグナリング トラフィックは、強力な暗号化スイート (256 ビット、または 128 ビット対称暗号鍵サイズ、SHA-2 ハッシュ機能) を使用して、TLS により保護されます。 256 ビット対称暗号キーを使用した TLS 暗号スイートが優先されます。例: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 Webex Teams サービスにより、TLS バージョン 1.2 のみがサポートされています。 リアルタイム メディア以外のすべての Webex Teams 機能は、TLSに依存しています。
シグナリング トラフィックのための Webex Teams URL 展開されたプロキシがあるか、エンタープライズ ネットワークから送信されるトラフィックをフィルタリングするためのファイアウォールがある場合、Webex Teams サービスにアクセスするためにホワイトリストに入れられた送信先 URL のリストは、ここ Webex Teams URL にあります。 IP アドレスにより Webex Teams シグナリング トラフィックをフィルタリングは、Webex Teams により使用される IP アドレスが動的で、いつでも変更されてしまう可能性があるため、サポートされていません。
メディア トラフィック Webex Teams アプリとデバイスは、音声、ビデオ、およびコンテンツ共有ストリームのために、リアルタイム メディアを使用します。 一般的に*、Webex Teams アプリまたはデバイスからのメディアは、ユーザーのロケーションから Webex Cloud のメディア ノードに移行し、そこでストリームがミックスされ、配信されます。 これは、すべての通話タイプに対して該当します。例: 1:1 通話および複数当事者の通話。 (*オン-プレミスのビデオ メッシュ ノードは、メディアをローカルにミックスして配信するためにも展開することができます)。
Cisco は、RFC 3711 に記載されているセキュアなリアルタイムのトランスポート プロトコル (SRTP) を使用してすべての Webex Teams メディア ストリームのセキュリティを確保します。 Cisco アプリとデバイスは、AES_CM_128_HMAC_SHA1_80 暗号化スイートを使用して暗号化します。 RFC 3550 RTP (リアルタイム アプリケーションのトランスポート プロトコル) タイム アプリケーションに沿って、Cisco は Webex Teams の音声およびビデオ メディア ストリームに対するトランスポート プロトコルとして、UDP を基本設定を強くお勧めします。 Webex Teams アプリとデバイスはまた、フォールバック メディア トランスポート プロトコルとして、TCP もサポートしています。 しかし、Cisco は音声とビデオ メディア ストリームのトランスポート プロトコルとして、TCP を推奨していません。 これは、TCP が接続指向であり、データを上位レイヤーのプロトコルに信頼性をもって配信し、正しく順序付けられるように設計されているためです。 TCP を使用すると、送信側は損失したパケットを確認応答されるまで再送信し、受信側は損失したパケットが回復するまでパケット ストリームをバッファします。 メディア ストリームの場合、この動作は待ち時間/ジッタの増大として現れ、通話の参加者により経験されるメディアの品質に影響します。 Webex Teams アプリとデバイスはまた、TLS (HTTPS) をメディア トランスポートの 3 つ目のオプションとしてサポートしています。 TLS を使用すると、この Webex Teams メディア トラフィックがエンタープライズのプロキシ サーバーを通過して、Webex Cloud のメディア サーバーに達する必要があることも意味します。 プロキシ サーバーは、主に HTTP ベースのウェブ トラフィックをインターセプトし、転送するために設計されています。メディアの品質は、プロキシ サーバーがそのパフォーマンスしきい値に達し、大量の高帯域幅メディア ストリームを処理するときに、パケットっをドロップする場合に影響を受けます。 Webex Teams メディアは、内部で開始された 5 タプル(送信元 IP アドレス、送信先 IP アドレス、送信元ポート、送信先ポート、プロトコル)のストリームを Webex Cloud に発信する対称のストリームを使用して、双方向にメディアをフローさせます。 Webex Teams はまた、ファイアウォール トラバーサルとメディア ノード信頼性テストにも STUN (RFC 5389) を使用します。 詳細については、「Webex Teams ファイアウォール ホワイトペーパー」 を参照してください。 Webex Teams – メディアの宛先 IP アドレス範囲
エンタープライズ ネットワークから送信されるメディア トラフィックの送信先をコントロールする場合、Webex Teams メディア ノードに送信されるメディア トラフィックの送信先 IP アドレス範囲は、ここにあります。メディアの Webex Teams IP サブネット
プロキシとファイアウォールを通過する Webex Teams トラフィックほとんどの顧客はインターネット ファイアウォール、またはインターネット プロキシとファイアウォールを展開し、ネットワークを出入りする HTTP ベースのトラフィックを制限し、コントロールします。 以下のファイアウォールとプロキシの指針に従って、ネットワークから Webex Teams サービスにアクセスすることができるようにします。ファイアウォールの構成ファイアウォールのみを使用している場合、IP アドレスを使用して Webex Teams シグナリング トラフィックはサポートされていないことにご注意うださい。Webex Teams により使用される IP アドレスは動的で、いつでも変更されてしまう場合があるためです。 ファイアウォールが URL フィルタリングをサポートしている場合、ここ Webex Teams URL にリストされている Webex Teams 送信先 URL をホワイトリストに載せます。Webex Teams アプリとデバイス – ポート番号とプロトコル以下の表では Webex Teams アプリおよびデバイスで使用されるポートとプロトコルを示しています。
(2) ポート 33434 で UDP/TCP を介した暗号化されたメディアトラフィック用にファイアウォールを開くことの推奨が廃止されました。 しかし、Webex Teams は 5004 が開いていない場合、これらのポートを引き続きプローブし、使用します。 注 - 従来の Webex Meeting クライアントは、メディアについて現在 UDP ポート 9000 を使用しています。詳細については、「:WBX264 - マイ ネットワークで Webex Meetings トラフィックを許可するには?」を確認してください。 メディアに関する Webex Teams IP サブネット
Cisco は、特定の地理的領域に対して IP アドレスをフィルタリングすることを支持しないか、推奨しません。 地域によるフィルタリングは、ミーティング全体に参加できなくすることを含む、Webex Teams ミーティングのエクスペリエンスの重大な劣化を生じさせます。 プロキシの設定多くの組織は、ネットワークから発信される HTTP トラフィックを検査し、コントロールするために、プロキシを使用します。 プロキシは、URL ホワイトリスト作成やブラックリスト作成、ユーザー認証、IP アドレス/ドメイン/ホスト名/URI 評価のルックアップ、トラフィックの解読と検査など、いくつかのセキュリティ機能を実行するために使用できます。 Webex Teams に関連するプロキシ機能は、以下に説明されています。 Webex Teams URL以下の表では、Webex Teams で使用されている URL について説明しています。 所属組織がプロキシを使用する場合、これらの URL にアクセスできることを確認してください。 Webex Teams が URL に送信したデータを扱っている方法については、Webex Teams のセキュリティとプライバシー ホワイトペーパーをご覧ください。
(1)2019 年 10 月以降、ユーザーファイルはアップロードされ、Cisco 管理対象 webexcontent.com ドメインに保存されます。 Webex Teams ハイブリッド サービスの追加 URLハイブリッド サービスの場合、プロキシを設定してハイブリッド サービス ノードのソース IP アドレスのいがこれらの URL に到達することを許可するようにプロキシを設定することで、外部ドメインへのはさらに制限されます (Webex Teams アプリとデバイスによっても使用される webexcontent.com ドメインを除く)。
(1) *.docker.com および *.docker.io の使用をハイブリッドサービスコンテナーに対して次第に終了し、最終的に *.amazonaws.com と置き換えることを計画しています。 プロキシの機能プロキシ認証サポートプロキシはアクセス コントロール デバイスとして使用され、ユーザー/デバイスがプロキシに対して有効なアクセス権限資格情報を提供するまで、外部リソースへのアクセスをブロックします。 プロキシでは、基本認証、ダイジェスト認証、(Windows ベース) NTLM、Kerberos およびネゴシエーション (NTLM フォールバックによる Kerberos) などのプロキシによりサポートされているいくつかの認証方法があります。
(1): Mac NTLM 認証 - マシンはドメインにログオンする必要はない、ユーザーはパスワードの入力を指示される プロキシ 検査および証明書ピニングWebex Teams は通信するシステムの証明書を検証します。 TLS セッションの確立が Webex Teams アプリまたはデバイスのオペレーティング システムにインストールされたルート CA 証明書のリストに対して検証されるときに証明書が提示されることを保証することによって、これを行います。 Webex Teams アプリおよびデバイスはまた、証明書が既知の悪意ある、または感染した可能性のある証明機関によって発行されたものではないことを確認します。
802.1X – ポートベースのネットワーク アクセス コントロール
Cisco Webex ビデオ メッシュCisco Webex ビデオ メッシュは、ネットワーク上でメディア トラフィックの送信先を提供します。 すべてのメディアを Webex Cloud に送信する代わりに、インターネット帯域幅の使用量を削減し、メディアの品質を向上させるため、ネットワークに残すこともできます。 詳細については、Cisco Webex ビデオ メッシュ 展開ガイド を参照してください。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
マニュアルの改訂履歴 - Webex Teams サービスのネットワーク要件
改訂日 |
新機能および変更された機能に関する情報 |
2020/03/13 | walkme.com サービスに新しい URL が追加されました Room OS デバイスの TLS メディア トランスポートが追加されました 新しいセクションが追加されました: ハイブリッド コーリング SIP シグナリングのためのネットワーク要件 Webex Calling ネットワーク要件ドキュメントにリンクが追加されました |
2019/12/11 | マイナーなテキストの変更、Webex Teams アプリとデバイスの更新 – ポート番号とプロトコル テーブル、Webex Teams URL テーブルの更新と再書式設定。 Management Connector と Call Connector ハイブリッド サービスの NTLM Proxy Auth を削除する |
2019/10/14 | 追加された会議室デバイスの TLS 検査サポート |
2019/09/16 | TCP を転送プロトコルとして使用する DNS システムの TCP サポート要件の追加。 URL の追加 *. walkme.com –このサービスは、新しいユーザーにオンボードと使用のツアーを提供します。 Web Assistant によって使用されるサービス URL を修正します。 |
2019/08/28 | *.sparkpostmail1.com URL added メール サービス (ニュースレター用),登録情報,アナウンス |
2019/08/20 | ビデオ メッシュ ノードおよびハイブリッド データ セキュリティ サービスのためのプロキシサポートが追加されました |
2019/08/15 | Webex Teams サービスに使用される Cisco および AWS データセンターの概要。 *.webexcontent.com URL がファイルストレージに追加されました ファイル ストレージの clouddrive.com が廃止されることに注意してください *. walkme.com URL がメトリクスとテストに追加されました |
2019/07/12 | *.activate.cisco.com および *.webapps.cisco.com URL が追加されました テキストの読み上げ URL が *.speech-googleapis.wbx2.com に更新されました *.texttospeech-googleapis.wbx2.com *.quay.io URL が削除されました ハイブリッドサービスコンテナー URL が *.amazonaws.com に更新されました |
2019/06/27 | ユーザーの総合情報機能のために、*.accompany.com のホワイトリスト要件が追加されました |
2019/04/25 | TLS バージョン サポートに関する行に「Webex Teams サービス」を追加しました。 メディア トラフィックの下のメディア ストリーム行に「Webex Teams」を追加しました。 メディア セクションの Webex Teams IP サブネットの地域の前に「地理的」を追加しました。 言葉遣いを若干変更しました。 A/B テストとメトリックスの更新と Google スピーチ サービスの追加により、Webex Teams URL テーブルを編集しました。 「Webex Teams ハイブリッド サービスの追加 URL」で、AsyncOS の後の「10.1」バージョン情報を削除しました。 「プロキシ認証サポート」セクションのテキストを更新しました。 |
2019/03/26 | 「WSA Webex Teams 設定ガイド マニュアルの
https://www.cisco.com/c/dam/en/us/products/collateral/security/web-security-appliance/guide-c07-739977.pdf から https://www.cisco.com/c/en/us/td/docs/security/wsa/wsa11-5/user_guide/b_WSA_UserGuide_11_5_1.html
への変更を参照してください」の URL リンクを変更しました URL「api.giphy.com」を「*.giphy.com」に変更しました |
2019/02/21 | BroadCloud を通じた同盟の Webex 通話という製品が今後発売されるため、John Costello によるリクエストとして「Webex 通話」を「Webex 通話」(以前の Spark 通話)としました。 |
2019/02/06 | 「Hybrid メディア ノード」を「Webex ビデオ メッシュ ノード」に更新しました。 |
2019/01/11 | 「End to End encrypted files uploaded to Webex Teams spaces and Avatar storage」を「End to End encrypted files uploaded to Webex Teams spaces, Avatar storage, Webex Teams branding Logos」に更新しました |
2019/01/09 | *Webex Teams Room デバイスが TLS 検査プロキシを通じた通信を検証するために必要な CA 証明書を取得するために、CSM にご連絡いただくか、Cisco TAC で事例を開いてください。 |
2018 年 12 月 5 日 | URL の更新: Webex Teams URL 表の 4 つの エントリから「https://」を削除しました。 https://api.giphy.com -> api.giphy.com https://safebrowsing.googleapis.com -> safebrowsing.googleapis.com http://www.msftncsi.com/ncsi.txt -> msftncsi.com/ncsi.txt https://captive.apple.com/hotspot-detect.html -> captive.apple.com/hotspot-detect.html
|
2018 年 11 月 30 日 | 新しい URL: *.ciscosparkcontent.com、*.storage101.ord1.clouddrive.com、*.storage101.dfw1.clouddrive.com、*.storage101.iad3.clouddrive.com、https://api.giphy.com、https://safebrowsing.googleapis.com、http://www.msftncsi.com/ncsi.txt、https://captive.apple.com/hotspot-detect.html、*.segment.com、*.segment.io、*.amplitiude.com、*.eum-appdynamics.com、*.docker.io、*.core-os.net、*.s3.amazonaws.com、*.identity.api.rackspacecloud.com |
Windows、iOS および Android の追加のプロキシ認証メソッドのサポート | |
Webex Board は Room デバイスの OS と機能。Room デバイスにより共有されるプロキシの機能: SX、DX、MX、Room キット シリーズと Webex Board | |
iOS および Android アプリによる TLS 検査のサポート | |
Room デバイスで削除される TLS 検査のサポートの除去: SX、DX、MX、Room キット シリーズと Webex Board | |
Webex Board は Room デバイス OS と機能を採用します。802.1X サポート | |
2018 年 11 月 21 日 | 以下の注記がメディア セクションの IP サブネットに追加されました。クラウド メディア リソースに対する上記の IP 範囲リストは、すべてを網羅するものではなく、上記のリストに含まれていない Cisco Webex Teams で使用されるその他の IP 範囲が存在する場合があります。 しかし、Webex Teams アプリとデバイスは、リストされていないメディア IP アドレスに接続しなくても、通常に機能することができます。 |
2018 年 10 月 19 日 | 追加されたメモ: Webex Teams はデータ収集の診断およびトラブルシューティングのためにサードパーティを使用します。クラッシュと使用メトリックスの収集です。 これらのサードパーティのサイトに送信されるデータは、Webex Privacy データシートに記載されます。 詳細については、次を参照してください。https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-webex-privacy-data-sheet.pdf |
ハイブリッド サービスにより使用される追加 URLの別の表: *.cloudfront.net、*.docker.com、*.quay.io、*.cloudconnector.cisco.com、*.clouddrive.com | |
2018 年 8 月 7 日 | ポートとプロトコル表に追加される注記: ローカルの NTP および DNS サーバーをビデオ メッシュ の度の OVA で構成する場合、ポート 53 および 123 はファイアウォールを通過するようにオープンにする必要はありません。 |
2018 年 5 月 7 日 | 大幅なマニュアル改訂 |