Nettverkskrav for Webex-tjenester


Nettverkskrav for Webex-tjenester



Dokumentrevisjonslogg Denne artikkelen er beregnet på nettverksadministratorer, spesielt brannmur- og proxy-sikkerhetsadministratorer som vil bruke Webex-meldings- og møtetjenester i organisasjonen. Det vil hjelpe deg med å konfigurere nettverket ditt til å støtte Webex-tjenestene som brukes av HTTPS-baserte Webex-app- og Webex Room-enheter, samt Cisco IP-telefoner, Cisco-videoenheter og tredjepartsenheter som bruker SIP til å koble til Webex Meetings-tjenesten.
Dette dokumentet fokuserer primært på nettverkskravene til Webex-skyregistrerte produkter som bruker HTTPS-signalering til Webex-skytjenester, men beskriver også nettverkskravene til produkter som bruker SIP-signalering til å bli med i Webex Meetings separat. Disse forskjellene er oppsummert nedenfor:

Webex skyregistrerte apper og enheter

Alle skyregistrerte Webex-apper og -enheter bruker HTTPS til å kommunisere med Webex-meldings- og møtetjenester:

  • Skyregistrerte Webex Room-enheter bruker HTTPS-signalering for alle Webex-tjenester.
  • Lokale SIP-registrerte Webex-enheter kan også bruke HTTPS-signalering hvis Webex Edge for enheter-funksjonen er aktivert. Denne funksjonen gjør det mulig å administrere Webex-enheter via Webex Control Hub og delta i Webex Meetings ved hjelp av HTTPS-signalering (for detaljer, se https://help.webex.com/en-us/cy2l2z/Webex-Edge-for-Devices).
  • Webex-appen bruker HTTPS-signalering for Webex-meldings- og møtetjenester. Webex-appen kan også bruke SIP-protokollen til å bli med i Webex-møter, men dette er underlagt at brukeren enten blir kalt via SIP-adressen eller velger å ringe en SIP URL for å bli med i et møte (i stedet for å bruke funksjonaliteten til møtet som er innebygd i Webex-appen).
Webex cloud og lokale call control registrerte enheter ved hjelp av SIP
Webex Calling-tjenesten og lokale samtalekontrollprodukter som Cisco Unified CM bruker SIP som deres samtalekontrollprotokoll. Webex Room-enheter, Cisco IP-telefoner og tredjepartsprodukter kan bli med i Webex Meetings ved hjelp av SIP. For lokale SIP-baserte anropskontrollprodukter som Cisco Unified CM opprettes en SIP-økt gjennom en grensekontroller, for eksempel Expressway C &E eller CUBE SBC for kall til og fra Webex Cloud.

Hvis du vil ha mer informasjon om de spesifikke nettverkskravene for Webex Calling-tjenesten, kan du se: https://help.webex.com/en-us/b2exve/Port-Reference-Information-for-Cisco-Webex-Calling
 

Alle skyregistrerte Webex-apper og Webex Room-enheter starter bare utgående tilkoblinger. Ciscos Webex Cloud starter aldri utgående tilkoblinger til skyregistrerte Webex-apper og Webex Room-enheter, men kan foreta utgående samtaler til SIP-enheter. Webex-tjenester for møter og meldinger er primært vert i globalt distribuerte datasentre, som enten eies av Cisco (f.eks. Webex-datasentre for identitetstjenester, møtetjenester og medieservere) eller driftes i en Cisco Virtual Private Cloud (VPC) på Amazon AWS-plattformen (f.eks. mikrotjenester for Webex-meldinger, meldingslagringstjenester og medieservere). Alle data krypteres under overføring og i ro.

Typer trafikk:

Webex-appen og Webex Room-enhetene etablerer signal- og medietilkoblinger til Webex-skyen.

Signaltrafikk
Webex-appen og Webex-enhetene bruker HTTPS og WSS (sikre websockets) til signalering. Signaltilkoblinger er bare utgående og bruker URL-adresser for øktetablering til Webex-tjenester.

Signaltrafikken er beskyttet av TLS ved hjelp av sterke krypteringssamlinger. Webex-tjenester foretrekker TLS-chiffreringssamlinger ved hjelp av ECDHE for nøkkelforhandling, 256-biters symmetriske krypteringschiffernøkler og SHA-2-nummerfunksjoner, for eksempel:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
bare TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS versjon 1.2 støttes av Webex-tjenester.
 
Alle andre Webex-funksjoner enn sanntidsmedier startes over en signalkanal som bruker TLS.
 
Opprette signaltilkoblinger til Webex-tjenester ved hjelp av URL-adresser
Hvis du har distribuert proxyer eller brannmurer for å filtrere trafikk som forlater bedriftsnettverket, finner du listen over mål-URL-adresser som må ha tilgang til Webex-tjenesten, i delen Domener og URL-adresser som må åpnes for Webex-tjenester. Filtrering av Webex-signaliseringstrafikk etter IP-adresse støttes ikke fordi IP-adressene som brukes av Webex, er dynamiske og kan endres når som helst.

Medietrafikk
Webex-appen og Webex Room-enhetene krypterer sanntidsmedier for lyd-, video- og innholdsdelingsstrømmer ved hjelp av følgende krypteringssikffer:

  • AES-256-GCM chiffer
  • AES-CM-128-HMAC-SHA1-80 chiffer

AES-256-GCM er en moderne krypteringschiffer med en 256-biters krypteringsnøkkel. AES-256-GCM brukes av Webex-appen og Webex Room-enheter* til å kryptere møteinnhold.     * Webex-appen bruker AES-256-GCM til å kryptere innhold for alle Webex Meeting-typer. Webex Room-enheter bruker AES-256-GCM for en ende-til-ende-kryptering av S-Frame-medienyttelasten med Zero Trust Security-funksjonen for Webex Meetings (funksjonsutrulling starter Q1 CY'21) for mer informasjon, se Zero-Trust Security for Webex Technical Paper

AES-CM-128-HMAC-SHA1 er en moden chiffer som har vist interoperabilitet mellom leverandører. AES-CM-128-HMAC-SHA1 brukes til å kryptere medier til Webex-tjenester ved hjelp av SRTP, eller SRTP med SIP-signalering (f.eks.

UDP – Cisco anbefalte medietransportprotokoll
I tråd med RFC 3550 RTP – A Transport Protocol for Real-Time Applications, foretrekker Cisco og anbefaler på det sterkeste UDP som transportprotokoll for alle Webex stemme- og videomediestrømmer.
 
Ulemper ved å bruke TCP som medietransportprotokoll
Webex-appen og Webex Room-enheter støtter også TCP som en reserveprotokoll for medietransport. Cisco anbefaler imidlertid ikke TCP som transportprotokoll for tale- og videomediestrømmer. Dette er fordi TCP er tilkoblingsorientert og utformet for å levere, riktig sorterte, data til protokoller i øvre lag på en pålitelig måte. Ved hjelp av TCP sender avsenderen tapte pakker på nytt til de godkjennes, og mottakeren bufrer pakkestrømmen til de tapte pakkene gjenopprettes. For mediestrømmer manifesterer denne virkemåten seg som økt ventetid/jitter, noe som igjen påvirker mediekvaliteten som deltakerne i samtalen har opplevd.
 
Fordi medier over TLS kan lide av en forringelse av mediekvaliteten på grunn av den tilkoblingsorienterte transportprotokollen og potensielle flaskehalser for proxy-servere, anbefaler Cisco på det sterkeste at TLS ikke brukes til å transportere medier i produksjonsmiljøer.
 
Webex-medier flyter i begge retninger ved hjelp av en symmetrisk innsidestartet 5-tuppel (kilde-IP-adresse, mål-IP-adresse, kildeport, målport, protokoll) som strømmer utgående til Webex Cloud.
 
Webex-appen og Webex Room-enhetene bruker også STUN (RFC 5389) for testing av brannmurtraversering og rekkevidde for medienoder. Hvis du vil ha mer informasjon, kan du se Teknisk papir for Webex Firewall.
 
Webex – Mål-IP-adresseområder for medier
Hvis du vil nå Webex-medieservere som behandler medietrafikk som forlater bedriftsnettverket, må du tillate at IP-delnettene som er vert for disse medietjenestene, kan nås via Enterprise-brannmuren. Mål-IP-adresseområdene for medietrafikk som sendes til Webex-medienoder, finner du i delen IP-delnett for Webex-medietjenester.

Webex-trafikk gjennom proxyer og brannmurer

De fleste kunder distribuerer en Internett-brannmur, eller Internett-proxy og brannmur, for å begrense og kontrollere HTTP-basert trafikk som forlater og går inn i nettverket deres. Følg brannmur- og proxy-veiledningen nedenfor for å aktivere tilgang til Webex-tjenester fra nettverket. Hvis du bare bruker en brannmur, må du være oppmerksom på at filtrering av Webex-signaltrafikk ved hjelp av IP-adresser ikke støttes, siden IP-adressene som brukes av Webex-signaltjenester, er dynamiske og kan endres når som helst. Hvis brannmuren støtter URL-filtrering, konfigurerer du brannmuren til å tillate URL-adresser for Webex-mål som er oppført i delenDomener og URL-adresser som må åpnes for Webex-tjenester.

Tabellen nedenfor beskriver porter og protokoller som må åpnes i brannmuren for at skyregistrerte Webex-apper og -enheter skal kunne kommunisere med Webex-skysignalering og medietjenester.

Webex-appene, -enhetene og -tjenestene som dekkes i denne tabellen, inkluderer:
Webex-appen, Webex Room-enheter, Video Mesh Node, Hybrid Data Security node, Directory Connector, Calendar Connector, Management Connector, Serviceability Connector.
Hvis du vil ha veiledning om porter og protokoller for enheter og Webex-tjenester ved hjelp av SIP, finner du under Nettverkskrav for SIP-baserte Webex-tjenester.

Webex-tjenester - Portnumre og protokoller

Målport

Protokoll

Beskrivelse

Enheter som bruker denne regelen

443TLSWebex HTTPS-signalering.
Øktetablering til Webex-tjenester er basert på definerte URL-adresser i stedet for IP-adresser.

Hvis du bruker en proxy-server, eller brannmuren støtter DNS-oppløsning. se avsnittet "Domener og URL-adresser som må åpnes for Webex-tjenester" for å tillate signaltilgang til Webex-tjenester.
Alle
444TLSSikker signalisering av Video Mesh Node for å opprette gjennomgripende medietilkoblinger til Webex-skyenVideonettnode
123 (1)UDPProtokoll for nettverkstid (NTP)Alle
53 (1)UDP
TCP
DNS (Domain Name System)

Brukes til DNS-oppslag for å finne IP-adressene til tjenester i Webex-skyen.
De fleste DNS-spørringer gjøres over UDP. DNS-spørringer kan imidlertid også bruke TCP.

 
Alle
5004 og 9000*SRTP over UDPKryptert lyd-, video- og innholdsdeling på Webex App- og Webex

Room-enheter Hvis du vil ha en liste over MÅL-IP-delnett, kan du se delen IP-delnett for Webex-medietjenester.

*Webex-appen bruker UDP-port 9000 til å koble til medietjenester for Webex Meetings
Webex App*

Webex Rom Enheter

Video Mesh Noder
5004SRTP over TCPTCP brukes til kryptert innholdsdeling på Webex App- og Webex Room-enhetene, og

fungerer også som en reservetransportprotokoll for kryptert lyd og video hvis UDP ikke kan brukes.

Hvis du vil ha en liste over MÅL-IP-delnett, kan du se delen IP-delnett for Webex-medietjenester.
Webex App

Webex Rom Enheter

Video Mesh Noder
33434 (2)SRTP over UDP

SRTP over TCP
Valgfri

port 33434 brukes til krypterte medier hvis port 5004 er blokkert av brannmuren.

Legg merke til at det opprettes en TCP-kontakt på port 33434, men bare brukes hvis tilkoblinger failover TCP og UDP på port 5004 og UDP på port 33434. (2)

Hvis du vil ha en liste over MÅL-IP-delnett, kan du se delen "IP-delnett for Webex-medietjenester".
Webex App

Webex romenheter
443 (2)SRTP over TLSBrukes som reservetransportprotokoll for kryptert lyd-, video- og innholdsdeling hvis UDP og TCP ikke kan brukes.

Media over TLS anbefales ikke i produksjonsmiljøer

Hvis du vil ha en liste over MÅL-IP-delnett, kan du se delen IP-delnett for Webex-medietjenester.
Webex App (3)

Webex Rom Enheter
(1) Hvis du bruker NTP- og DNS-tjenester i bedriftsnettverket, trenger ikke portene 53 og 123 å åpnes gjennom brannmuren.
(2) Anbefalingen om å åpne brannmuren for kryptert medietrafikk over UDP/TCP på port 33434 er avskrevet. Webex vil imidlertid fortsatt undersøke og bruke denne porten hvis port 5004 ikke er åpen.
(3) Webex Web-baserte app og Webex SDK støtter ikke medier over TLS.
 
Cisco støtter Webex-medietjenester i sikre cisco-, Amazon Web Services-datasentre (AWS) og Microsoft Azure-datasentre. Amazon og Microsoft har reservert sine IP-delnett for Ciscos eneste bruk, og medietjenester som ligger i disse delnettene er sikret i AWS virtuell privat sky og Microsoft Azure virtuelle nettverksforekomster. De virtuelle nettverkene i Microsoft Azure-skyen brukes til å være vert for servere for Microsofts CVI-tjeneste (Cloud Video Interop).

Konfigurer brannmuren slik at den gir tilgang til disse målene Webex IP-delnett og transportprotokollporter for mediestrømmer fra Webex-apper og -enheter. UDP er Ciscos foretrukne transportprotokoll for media, og vi anbefaler på det sterkeste at du bare bruker UDP til å transportere medier. Webex-apper og -enheter støtter også TCP og TLS som transportprotokoller for medier, men disse anbefales ikke i produksjonsmiljøer, da den tilkoblingsorienterte karakteren til disse protokollene kan påvirke mediekvaliteten alvorlig i forhold til tapsnettverk.

Notat: IP-delnettene som er oppført nedenfor, er for Webex-medietjenester. Filtrering av Webex-signaliseringstrafikk etter IP-adresse støttes ikke fordi IP-adressene som brukes av Webex, er dynamiske og kan endres når som helst. HTTP-signaliseringstrafikk til Webex-tjenester kan filtreres etter URL/domene på Enterprise Proxy-serveren før den videresendes til brannmuren.
 

IP-delnett for medietjenester

3.22.157.0/2618.181.204.0/2569.26.160.0/19
3.25.56.0/2518.230.160.0/25114.29.192.0/19
3.101.70.0/2520.50.235.0/24*150.253.128.0/17
3.101.71.0/2420.53.87.0/24*170.72.0.0/16
3.101.77.128/2820.68.154.0/24*170.133.128.0/18
3.235.73.128/2523.89.0.0/16173.39.224.0/19
3.235.80.0/2340.119.234.0/24*173.243.0.0/20
3.235.122.0/2444.234.52.192/26207.182.160.0/19
3.235.123.0/2552.232.210.0/24*209.197.192.0/19
18.132.77.0/2562.109.192.0/18210.4.192.0/20
18.141.157.0/2564.68.96.0/19216.151.128.0/19
18.181.18.0/2566.114.160.0/20 
18.181.178.128/2566.163.32.0/19 
* Azure-datasentre – som brukes til å være vert for videointegrering for Microsoft Teams (også kjent som Microsoft Cloud Video Interop) tjenester

Webex-apper og Webex Room-enheter utfører tester for å oppdage rekkevidden til, og tur-retur-tid til, et delsett av noder i hver medieklynge som er tilgjengelig for organisasjonen din. Rekkevidde for medienode testes over UDP-, TCP- og TLS-transportprotokoller og forekommer ved oppstart, nettverksendring og med jevne mellomrom mens appen eller enheten kjører. Resultatene av disse testene lagres av Webex-appen/ Webex-enheten og sendes til Webex-skyen før du blir med i et møte, eller en samtale. Webex-skyen bruker disse testresultatene for rekkevidde til å tildele Webex-appen/ Webex-enheten den beste medieserveren for samtalen basert på transportprotokoll (UDP foretrukket), rundturtid og ressurstilgjengelighet for medieserver.

Hvis du har konfigurert brannmuren til å tillate trafikk til bare et delsett av IP-delnettene ovenfor, kan det hende du fremdeles ser at det er mulig å kjøre gjennom nettverket, i et forsøk på å nå medienoder i disse blokkerte IP-delnettene. Medienoder på IP-delnett som er blokkert av brannmuren, vil ikke bli brukt av Webex-apper og Webex Room-enheter.

Cisco støtter ikke, eller anbefaler, å filtrere et delsett av IP-adresser basert på et bestemt geografisk område, eller skytjenesteleverandør. Filtrering etter region kan føre til alvorlig forringelse av møteopplevelsen, til og med manglende evne til å bli med på møter helt.

Webex-signaliseringstrafikk og Enterprise Proxy-konfigurasjon

De fleste organisasjoner bruker proxy-servere til å inspisere og kontrollere HTTP-trafikken som forlater nettverket. Proxyer kan brukes til å utføre flere sikkerhetsfunksjoner, for eksempel tillate eller blokkere tilgang til bestemte URL-adresser, brukergodkjenning, IP-adresse/domene/vertsnavn/URI-omdømmeoppslag og trafikkdekryptering og inspeksjon. Proxy-servere brukes også ofte som den eneste banen som kan videresende HTTP-basert Internett-basert trafikk til bedriftsbrannmuren, slik at brannmuren kan begrense utgående Internett-trafikk til den som bare kommer fra proxy-serveren(e). Proxy-serveren må konfigureres slik at Webex-signaliseringstrafikk får tilgang til domenene/URL-adressene som er oppført i avsnittet nedenfor:

Url-adresser for Cisco Webex Services

Domene/URL-adresse

Beskrivelse

Webex-apper og -enheter som bruker disse domenene/nettadressene

*.wbx2.com
*.ciscospark.com
Webex mikrotjenester.
For eksempel :
Meldingstjeneste
Filbehandlingstjeneste

Nøkkelbehandlingstjeneste
Programvareoppgraderingstjeneste Profil picture service

Tavletjeneste
Nærhetstjeneste
Tilstedeværelsestjeneste Registreringstjeneste
Kalendertjeneste
Søketjeneste
Alle
*.webex.com
*.cisco.com
Webex Møter Tjenester
Identitet
klargjøring Identitet lagring
Godkjenning
OAuth tjenester
Enhet onboarding Cloud Connected
UC
Alle
*.webexcontent.com (1)Webex meldingstjeneste - generell fillagring inkludert:

Brukerfiler,
Transkodede filer,
Bilder,
Skjermbilder,
Tavleinnhold,
Klient - enhetslogger,
Profilbilder,
Merkevarelogoer,
Loggfiler Bulk
CSV-eksportfiler og importfiler (Kontrollhub)
Alle

merknader:
Fillagring ved hjelp av webexcontent.com erstattet clouddrive.com i oktober 2019

Organisasjonen din bruker kanskje fortsatt cloudrive.com til å lagre eldre filer – hvis du vil ha mer informasjon, kan du se (1)

Flere Webex-relaterte tjenester - Cisco-eide domener

URL

Beskrivelse

Webex-apper og -enheter som bruker disse domenene/nettadressene

*.accompany.comIntegrering av innsikt i personerWebex-apper

Flere Webex-relaterte tjenester – Tredjepartsdomener

URL

Beskrivelse

Webex-apper og -enheter som bruker disse domenene/nettadressene

*.sparkpostmail1.com
*.sparkpostmail.com
e-posttjeneste for nyhetsbrev, registreringsinformasjon, kunngjøringerAlle
*.giphy.comLar brukere dele GIF-bilder. Denne funksjonen er aktivert som standard, men kan deaktiveres i KontrollhubWebex-appen
safebrowsing.googleapis.comBrukes til å utføre sikkerhetskontroller på URL-adresser før du opphever dem i meldingsstrømmen. Denne funksjonen er aktivert som standard, men kan deaktiveres i KontrollhubWebex-appen
*.walkme.com

s3.walkmeusercontent.com
Webex-app brukerveiledningsklient. Tilbyr innførings- og bruksturer for nye brukere

Hvis du vil ha mer informasjon, kan du se https://support.walkme.com/knowledge-base/access-requirements-for-walkme/
Webex-appen

speech.googleapis.com
texttospeech.googleapis.com

speech-services-manager-a.wbx2.com

Taletjenester fra Google. Brukes av Webex Assistant til å håndtere talegjenkjenning og tekst-til-tale. Deaktivert som standard, er opt-in via Control Hub. Assistenten kan også deaktiveres per enhet.Webex Room Kit og Webex Room-enheter

Detaljer om Webex Room-enheter som støtter Webex Assistant er dokumentert her:
https://help.webex.com/hzd1aj/Enable-Cisco-Webex-Assistant
msftncsi.com/ncsi.txt

captive.apple.com/hotspot-detect.html
Internett-tilkobling fra tredjepart kontrollerer for å identifisere tilfeller der det er en nettverkstilkobling, men ingen tilkobling til Internett.

Webex-appen utfører sine egne internettforbindelseskontroller, men kan også bruke disse tredjeparts nettadressene som reserve.
Webex-appen
*.appdynamics.com
*.eum-appdynamics.com
Ytelsessporing, feil- og krasjopptak, øktmålinger (3)Webex App
Webex Web App
*.amplitude.comA/ B-testing og beregninger (3)Webex Web App
Webex Android-app

 
*.vbrickrev.comDette domenet brukes av deltakere som viser Webex Events WebcastsWebex Events
*.slido.com
*.sli.do
*.data.logentries.com
Brukes til Slido PPT-tillegg og for å tillate Slido-nettsider å lage avstemninger / spørrekonkurranser i førmøteAlle
*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org
Brukes til å be om sertifikatopphevelseslister fra disse sertifiseringsinstansene

Obs! - Webex støtter både CRL- og OCSP-stifting for å fastslå tilbakekallingsstatusen for sertifikater. 

Med OCSP-stifting trenger ikke Webex-apper og -enheter å kontakte disse sertifiseringsinstansene
Alle
Kjernetjenestene i Webex blir avskrevet (2)
URLBeskrivelseWebex-apper og -enheter som bruker disse domenene/nettadressene
*.clouddrive.comLagring av webex-meldingsfiler

Fillagring ved hjelp av webexcontent.com erstattet clouddrive.com i oktober 2019

Organisasjonen din bruker kanskje fortsatt cloudrive.com til å lagre eldre filer – for mer informasjon se (1)
Alle
*.ciscosparkcontent.comLoggfilen lastes opp
Loggfillagringstjenesten bruker nå domenet *.webexcontent.com
Webex-appen

 
*.rackcdn.comContent Delivery Network (CDN) for domenet *.clouddrive.comAlle

(1) Fra oktober 2019 vil brukerfiler bli lastet opp og lagret i Cisco administrert webexcontent.com domene.

Filer som lastes opp før oktober 2019, forblir i clouddrive.com domene og er tilgjengelige fra Webex-appen til oppbevaringsperioden for organisasjonen er nådd (når de deretter blir slettet). I løpet av denne perioden kan det hende du trenger tilgang til både webexcontent.com domene (for nye filer) og clouddrive.com domene (for gamle filer).

Hvis du bare håndhever bruken av webexcontent.com domene:  Gamle filer som lastes opp og lagres i clouddrive.com domene (av deg eller en deltakende organisasjon), vil ikke være tilgjengelige for visning og nedlasting i Webex-meldingsområder som du er medlem av.

Hvis du bare håndhever bruken av clouddrive.com domene:  Du vil ikke kunne laste opp filer, og nye filer som lastes opp og lagres i webexcontent.com domene av en annen organisasjon som har plass du deltar i, kan ikke hentes.

(2) Nye kunder (fra oktober 2019 og senere) kan velge å utelate disse domenene, da de ikke lenger brukes til fillagring av Webex. Vær imidlertid oppmerksom på at du må gi tilgang til clouddrive.com domene, hvis du blir med i et Space som eies av en annen organisasjon som har brukt clouddrive.com domene til å lagre filer du trenger (dvs. filer ble lastet opp før oktober 2019).

(3) Webex bruker tredjeparter til diagnostisk og feilsøking av datainnsamling; og samlingen av krasj- og bruksmålinger. Data som kan sendes til disse tredjepartsnettstedene, er beskrevet i Webex' dataark for personvern. Hvis du vil ha mer informasjon, kan du se:

Konfigurer proxyen for å gi tilgang til URL-adressene i tabellen nedenfor for Webex Hybrid Services. Tilgang til disse eksterne domenene kan begrenses ved å konfigurere proxyen slik at bare kilde-IP-adressene til Hybrid Services-nodene kan nå disse URL-adressene.
 

Url-adresser for Cisco Webex Hybrid-tjenester

URL

Beskrivelse

Brukes av:

*.docker.com (1)
*.docker.io (1)
Beholdere for hybride tjenesterNode for
hybriddatasikkerhet for videonettnode
*s3.amazonaws.com (1)Logg filopplastingerNode for
hybriddatasikkerhet for videonettnode
*.cloudconnector.webex.comBrukersynkronisering  Katalogkobling for hybride tjenester

(1) Vi planlegger å fase ut bruken av *.docker.com og *.docker.io for Hybrid Services Containers, og til slutt erstatte dem med *.amazonaws.com.

Notat: Hvis du bruker en Cisco Web Security Appliance (WSA)-proxy og vil oppdatere URL-adressene som brukes av Webex-tjenester automatisk, kan du se WSA Webex Services-konfigurasjonsdokumentet for veiledning om hvordan du distribuerer en webex ekstern feed-in AsyncOS for Cisco Web Security.

Hvis du vil ha en CSV-fil som inneholder listen over URIer for Webex Services, kan du se: CSV-fil for Webex-tjenester


Proxy-serveren må konfigureres slik at Webex signaliserer trafikk for å få tilgang til domenene/URL-adressene som er oppført i forrige del.  Støtte for ytterligere proxy-funksjoner som er relevante for Webex-tjenester, er omtalt nedenfor:

Støtte for proxy-godkjenning

Proxy-enheter kan brukes som tilgangskontrollenheter, og blokkerer tilgang til eksterne ressurser til brukeren/ enheten gir gyldig tilgangstillatelseslegitimasjon til proxyen. Flere godkjenningsmetoder støttes av proxyer som enkel godkjenning, sammendragsgodkjenning, (Windows-basert) NTLM, Kerberos og Negotiate (Kerberos med NTLM-tilbakefall).

For "Ingen godkjenning"-tilfellet i tabellen nedenfor kan enheten konfigureres med en proxy-adresse, men støtter ikke godkjenning. Når proxy-godkjenning brukes, må gyldig legitimasjon konfigureres og lagres i operativsystemet til Webex App eller Webex Room Device.

For Webex Room-enheter og Webex-appen kan proxy-adresser konfigureres manuelt via plattformens operativsystem eller enhetsgrensesnitt, eller oppdages automatisk ved hjelp av mekanismer som:

Web Proxy Auto Discovery (WPAD) og/eller Proxy Auto Config (PAC)-filer:

Produkt

Godkjenningstype

Konfigurasjon av proxy

Webex for MacIngen godkjenning, Grunnleggende, NTLM (1)Manuell, WPAD, PAC
Webex for WindowsIngen godkjenning, Grunnleggende, NTLM (2), ForhandleManuell, WPAD, PAC, GPO
Webex for iOSIngen godkjenning, Grunnleggende, Sammendrag, NTLMManuell, WPAD, PAC
Webex for AndroidIngen godkjenning, Grunnleggende, Sammendrag, NTLMManuell, PAC
Webex Web AppIngen godkjenning, Grunnleggende, Sammendrag, NTLM, ForhandleStøttes via operativsystem
Webex Room-enheterIngen godkjenning, grunnleggende, sammendragWPAD, PAC eller manuell
Webex Video Mesh-nodeIngen godkjenning, Grunnleggende, Sammendrag, NTLMManuelt
Node for hybrid datasikkerhetIngen godkjenning, grunnleggende, sammendragManuelt
Kobling for vertsadministrasjon for hybride tjenesterIngen godkjenning, grunnleggendeManuell konfigurasjon Motorvei C: Programmer > proxy for hybridtjenester > kobling
Hybride tjenester: KatalogtilkoblingIngen godkjenning, Grunnleggende, NTLMStøttes via Windows OS
Hybrid Services Motorvei C: Kalender-koblingIngen godkjenning, Grunnleggende, NTLMManuell konfigurasjon Motorvei C:
Programmer > Hybrid Services >-kontakt proxy: Brukernavn Passord
Motorvei C: Programmer > Hybrid Services > Calendar Connector > Microsoft Exchange> Basic og/eller NTLM
Hybrid Services Motorvei C: Ring opp koblingIngen godkjenning, grunnleggendeManuell konfigurasjon Motorvei C:
Programmer > proxy for hybridtjenester > kobling

(1): Mac NTLM Auth - Maskinen trenger ikke logges på domenet, brukeren ba om et passord
(2): Windows NTLM-godkjenning - Støttes bare hvis en maskin er logget på domenet

 

Proxy-inspeksjon og sertifikatpinner

Webex-appen og Webex-enhetene validerer sertifikatene til serverne de oppretter TLS-økter med. Sertifikatkontroller som sertifikatutstederen og den digitale signaturen er avhengige av å bekrefte sertifikatkjeden opp til rotsertifikatet. Hvis du vil utføre disse valideringskontrollene, bruker appen eller enheten et sett med klarerte rotsertifiseringsinstanssertifikater som er installert i klareringslageret for operativsystemet.

Hvis du har distribuert en TLS-undersøkende proxy for å fange opp, dekryptere og inspisere Webex-trafikk, må du kontrollere at sertifikatet proxyen presenterer (i stedet for Webex-tjenestesertifikatet) er signert av en sertifiseringsinstans, der rotsertifikatet er installert i klareringslageret for Webex-appen eller Webex-enheten. For Webex-appen må SERTIFISERINGSINSTANS-sertifikatet som brukes til å signere sertifikatet som brukes av proxyen, installeres i operativsystemet på enheten. For Webex Room-enheter åpner du en serviceforespørsel med TAC for å installere dette CA-sertifikatet i RoomOS-programvaren.

Tabellen nedenfor viser Støtte for Webex-app og Webex-enheter for TLS-inspeksjon av proxy-servere

Produkt

Støtter egendefinerte klarerte sertifiseringsinstanser for TLS-inspeksjon

Webex-app
(Windows, Mac, iOS, Android, Web)
Ja*
 
Webex Room-enheterJa
Cisco Webex-videonettJa
Hybriddata-sikkerhettjenesteJa
Hybride tjenester – katalog, kalender, administrasjonskoblingerNei

"* Merknad - Webex-appen støtter ikke proxy-serverdekryptering og inspeksjon av TLS-økter for Webex Meetings-medietjenester. Hvis du ønsker å inspisere trafikk som sendes til tjenester i webex.com domene, må du opprette et TLS-inspeksjonsfritak for trafikk sendt til * mcs *.webex.com, * cb *.webex.com og * mcc *.webex.com.
Merk - Webex-appen støtter ikke SNI-utvidelse for TLS-baserte medietilkoblinger. Tilkoblingsfeil til Webex-lyd- og videotjenestene oppstår hvis en proxy-server krever tilstedeværelse av SNI.

Produkt

Støtter 802.1X

Merknader

Webex-app
(Windows, Mac, iOS, Android, Web)
JaStøttes via operativsystem
Webex Room-enheterJaEAP-FAST
EAP-MD5
EAP-PEAP
EAP-TLS
EAP-TTLS
Konfigurer 802.1X via GUI eller Touch 10
Last opp serter via HTTP-grensesnitt
VideonettnodeNeiBruk OMGÅelse av MAC-adresse
Hybriddata-sikkerhettjenesteNeiBruk OMGÅelse av MAC-adresse
Hybride tjenester – katalog, kalender, administrasjonskoblingerNeiBruk OMGÅelse av MAC-adresse

Webex-skyen støtter innkommende og utgående samtaler ved hjelp av SIP som samtalekontrollprotokoll for Webex Meetings og for direkte (1:1) samtaler fra/til skyregistrerte Webex-apper og Webex Room-enheter.

SIP-samtaler for Webex Meetings Webex Meetings gjør det mulig for
deltakere med SIP-apper og -enheter å bli med i et møte enten:

  • Ringe SIP-URIen for møtet (f.eks. meetingnumber@webex.com), eller
  • Webex-skyen som kaller deltakerens angitte SIP-URI (f.eks. my-device@customer.com )


Samtaler mellom SIP-apper/-enheter og skyregistrerte Webex-app-/Webex Room-enheter
Webex-skyen gjør det mulig for brukere av SIP-apper og -enheter å:

  • Bli oppringt av skyregistrerte Webex-apper og Webex Room-enheter
  • Ring skyregistrerte Webex-apper og Webex Room-enheter

I begge de ovennevnte tilfellene må SIP-apper og enheter etablere en økt til / fra Webex-skyen. SIP-appen eller -enheten blir registrert i et SIP-basert anropskontrollprogram (for eksempel Unified CM), som vanligvis har en SIP Trunk-tilkobling til Expressway C og E som tillater innkommende og utgående samtaler (over Internett) til Webex Cloud.

SIP-apper og -enheter kan være:

  • Webex Room-enheten som bruker SIP til å registrere seg for Enhetlig CM
  • Cisco IP-telefoner som bruker SIP til å registrere seg for Enhetlig CM, eller Webex Calling-tjenesten
  • En tredjeparts SIP-app eller -enhet som bruker et tredjeparts SIP-anropskontrollprogram

Tabellen nedenfor beskriver portene og protokollene som kreves for tilgang til SIP-tjenester for Webex:

Porter og protokoller for Webex SIP-tjenester
KildeportMålportProtokollBeskrivelse
Ephemerale motorveiporter      Webex sky 5060 - 5070SIP over TCP/TLS/MTLS SIP-signalering fra Motorvei E til Webex cloud

Transport-protokoller: TCP/TLS/MTLS
Webex Cloud Flyktige porter    

 
Motorvei 5060 - 5070    SIP over TCP/TLS/MTLS    SIP-signalering fra Webex-skyen til Expressway E

Transport-protokoller: TCP/TLS/MTLS
Motorvei
36000 - 59999    
Webex sky
49152 -59999    

 
RTP/SRTP over UDP
    
Ukryptert/ Kryptert medium fra Motorvei E til Webex Cloud

Media Transport-protokollen: UDP
Webex sky
49152 - 59999  
 Motorvei
36000 - 59999    
RTP/SRTP over UDP    Ukryptert/ Kryptert medium fra Webex-skyen til Expressway E

Media Transport-protokollen: UDP

SIP-tilkoblingen mellom Expressway E og Webex-skyen støtter ukryptert signalisering ved hjelp av TCP, og kryptert signalering ved hjelp av TLS eller MTLS. Kryptert SIP-signalering foretrekkes fordi sertifikatene som utveksles mellom Webex-skyen og Expressway E, kan valideres før du fortsetter med tilkoblingen.

Expressway brukes vanligvis til å aktivere SIP-kall til Webex-skyen og B2B SIP-kall til andre organisasjoner. Konfigurer brannmuren slik at den tillater:

  • All utgående SIP-signaliseringstrafikk fra Expressway E-noder
  • All innkommende SIP som signaliserer trafikk til Expressway E-nodene dine

Hvis du vil begrense innkommende og utgående SIP-signalering og relatert medietrafikk til og fra Webex-skyen. Konfigurer brannmuren slik at den tillater trafikk til IP-delnettene for Webex-medier (se delen IP-delnett for Webex-medietjenester) og følgende AWS-områder: us-east-1, usa-øst-2, eu-central-1, us-gov-west-2, usa-vest-2. IP-adresseområdene for disse AWS-regionene finner du her: https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html 

* Denne websiden oppdateres ikke umiddelbart, da AWS gjør regelmessige endringer i IP-adresseområdene i sine delnett. For å spore endringer i AWS IP-adresseområder dynamisk, anbefaler Amazon å abonnere på følgende varslingstjeneste: https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html#subscribe-notifications

Medier for SIP-baserte Webex-tjenester bruker de samme MÅL-IP-delnettene for Webex Media (oppført her)

ProtokollPortnummer(er)RetningTilgangstypeKommentarer
TCP    5061, 5062    Innkommende    SIP-signalering    Innkommende SIP-signalering for Webex Edge Audio
TCP    5061, 5065    Utgående    SIP-signalering    Utgående SIP-signalering for Webex Edge Audio
TCP/UDP    Flyktige porter
8000 - 59999    
Innkommende    Medieporter    I en bedriftsbrannmur må det åpnes pinholes for innkommende trafikk til Expressway med et portområde fra 8000 - 59999

 

Cisco Webex-videonett

Cisco Webex Video Mesh tilbyr en lokal medietjeneste i nettverket ditt. I stedet for at alle medier går til Webex Cloud, kan det forbli på nettverket ditt, for redusert bruk av Internett-båndbredde og økt mediekvalitet. Hvis du vil ha mer informasjon, kan du se Cisco Webex Video Mesh Deployment Guide.

Hybridkalendertjeneste

Hybrid Kalender-tjenesten kobler Microsoft Exchange, Office 365 eller Google Kalender til Webex, noe som gjør det enklere å planlegge og bli med i møter, spesielt når du er mobil.

Hvis du vil ha mer informasjon, kan du se: Distribusjonsveiledning for hybrid kalendertjeneste for Webex

Hybrid katalogtjeneste

Cisco Directory Connector er et lokalt program for identitetssynkronisering i Webex-skyen. Det tilbyr en enkel administrativ prosess som automatisk og sikkert utvider bedriftskatalogkontakter til skyen og holder dem synkronisert for nøyaktighet og konsistens.

Hvis du vil ha mer informasjon, kan du se: Distribusjonsveiledning for Cisco Directory Connector

Foretrukket arkitektur for Webex Hybrid Services

Den foretrukne arkitekturen for Cisco Webex Hybrid Services beskriver den generelle hybridarkitekturen, dens komponenter og generelle anbefalte fremgangsmåter for utforming. Se: Foretrukket arkitektur for Webex Hybrid Services

Webex-anrop - Nettverkskrav

Hvis du også distribuerer Webex Calling med Webex Meetings and Messaging-tjenester, finner du nettverkskravene for Webex Calling-tjenesten her: https://help.webex.com/b2exve/Port-Reference-Information-for-Cisco-Webex-Calling
 

For kunder som trenger listen over IP-adresseområder og porter for Webex FedRAMP-tjenester
Denne informasjonen finner du her: https://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cloudCollaboration/WebexforGovernment/FedRAMP_Meetings_Ports_IP_Ranges_Quick_Reference.pdf

Revisjonsdato

Ny og endret informasjon

07/30/2021Oppdaterte delen Merknad i proxy-funksjoner
07/13/2021Oppdaterte delen Merknad i proxy-funksjoner
07/02/2021Endret *.s3.amazonaws.com til *s3.amazonaws.com
06/30/2021Oppdaterte listen over ekstra URL-adresser for Webex Hybrid Services.
06/25/2021Lagt til *.appdynamics.com domene i listen
06/21/2021Lagt til *.lencr.org domene i listen.
06/17/2021Oppdaterte porter og protokoller for tabellen Webex SIP Services
06/14/2021Oppdaterte porter og protokoller for tabellen Webex SIP Services
05/27/2021Oppdaterte tabellen i delen Flere URL-adresser for Webex Hybrid Services.
04/28/2021Lagt til domener for Slido PPT-tillegg og for å tillate Slido-nettsider å lage avstemninger / spørrekonkurranser i førmøte
04/27/2021Lagt til 23.89.0.0/16 IP-område for Webex Edge Audio
04/26/2021Lagt til 20.68.154.0/24* siden det er et Azure-delnett
04/21/2021Oppdaterte CSV-filen for Webex-tjenester under Flere URL-adresser for Webex Hybrid Services
04/19/2021Lagt til 20.53.87.0/24* siden det er en Azure DC for VIMT/CVI
04/15/2021Lagt til domene *.vbrickrev.com for Webex Events Webcasts.
03/30/2021Omfattende revisjon av dokumentoppsett.
03/30/2021Detaljer om webex nettbasert app- og Webex SDK-mediestøtte lagt til (Ingen medier over TLS).
03/29/2021Webex Edge for enheter funksjoner som er oppført med en lenke til dokumentasjonen.
03/15/2021Lagt til domene *.identrust.com
02/19/2021Lagt til-delen for Webex Services for FedRAMP-kunde
01/27/2021*.cisco.com domene lagt til for Cloud Connected UC-tjenesten, og Webex Calling onboarding IP-delnett for videointegrering for Microsoft Teams (også kjent som Microsoft Cloud Video Interop) indikert av *
01/05/2021Nytt dokument som beskriver nettverkskravene for Webex-appens møte- og meldingstjenester
11/13/20Fjernet delnett https://155.190.254.0/23 fra IP-delnettene for medietabell
10/7/2020Fjernet *.cloudfront.net rad fra flere URL-adresser for Webex Teams Hybrid Services
9/29/2020Nytt IP-delnett (20.53.87.0/24) lagt til for Webex Teams Media-tjenester
9/29/2020Webex-enheter omdøpt til Webex Room-enheter
9/29/2020*.core-os.net URL-adresse fjernet fra tabell: Flere URL-adresser for Webex Teams Hybrid Services
9/7/2020Oppdatert kobling til AWS-områder
08/25/20Forenkling av tabellen og teksten for Webex Teams IP-delnett for medier
8/10/20Ytterligere detaljer lagt til om hvordan rekkevidde for medienoder testes og Cisco IP-delnettbruk med Webex Edge Connect
7/31/20Lagt til nye IP-delnett for medietjenester i AWS- og Azure-datasentre
7/31/20Lagt til nye UDP-målmedieporter for SIP-kall i Webex Teams-skyen
7/27/20Lagt 170.72.0.0/16 (CIDR) eller 170.72.0.0 - 170.72.255.255 (nettoområde)
5/5/20Lagt til sparkpostmail.com i tabellen over tredjepartsdomener
4/22/20Lagt til nytt IP-område 150.253.128.0/17
03/13/20Ny URL-adresse lagt til for walkme.com tjeneste
TLS-medietransport for Room OS-enheter lagt
til Ny del lagt til : Nettverkskrav for SIP-signalkobling for hybridanrop lagt til for dokumentet for
nettverkskrav for Webex Calling
12/11/19Mindre tekstendringer, Oppdatering av Webex Teams-apper og -enheter – Portnumre og protokoller-tabellen, Oppdatering og omformatering av Webex Teams URL-tabellene. Fjerne NTLM Proxy Auth-støtte for hybridtjenester for Management Connector og Call Connector
10/14/19TLS inspeksjonsstøtte for romenheter lagt til
9/16/2019Tillegg av TCP-støttekrav for DNS-systemer som bruker TCP som transportprotokoll.
Tillegg av URL *.walkme.com - Denne tjenesten tilbyr innførings- og bruksturer for nye brukere.
Endringer i URL-adressene for tjenesten som brukes av webhjelperen.
8/28/2019*.sparkpostmail1.com URL-adresse lagt til
e-posttjeneste for nyhetsbrev, registreringsinformasjon, kunngjøringer
8/20/2019Proxy-støtte lagt til for Video Mesh Node og Hybrid Data Security-tjeneste
8/15/2019Oversikt over Cisco og AWS datasenter som brukes for Webex Teams Service.
*.webexcontent.com URL-adresse lagt til for fillagring
Obs! om avskriving av clouddrive.com for fillagring
*.walkme.com URL-adresse lagt til for beregninger og testing
7/12/2019*.activate.cisco.com og *.webapps.cisco.com URL-adresser lagt
til URL-adresser for tekst i url-adresser for tale oppdatert til URL-adressene *.speech-googleapis.wbx2.com og

*.texttospeech-googleapis.wbx2.com *.quay.io fjernet
URL-adressen for hybride tjenestebeholdere oppdatert til *.amazonaws.com
6/27/2019Lagt til *.accompany.com tillatt listekrav for People Insights-funksjonen
4/25/2019Lagt til 'Webex Teams-tjenester' for linje om støtte for TLS-versjon.
Lagt til 'Webex Teams' i mediestrømmer linje under Medietrafikk.
Lagt til "geografisk" før område i Webex Teams IP-delnett for mediedelen.
Gjorde andre mindre endringer i ordlyden.
Redigerte nettadresser for Webex Teams, ved å oppdatere nettadressen for A/B-testing og -beregninger og legge til en ny rad for Google Speech Services.
I delen Flere nettadresser for Webex Teams Hybrid Services fjernet versjonsinformasjonen 10.1 etter AsyncOS.
Oppdatert tekst i delen Støtte for proxy-godkjenning.
 
3/26/2019Endret URL-adressen som er koblet hit "se WSA Webex Teams-konfigurasjonsdokumentet for veiledning" fra https://www.cisco.com/c/dam/en/us/products/collateral/security/web-security-appliance/guide-c07-739977.pdf til https://www.cisco.com/c/en/us/td/docs/security/wsa/wsa11-5/user_guide/b_WSA_UserGuide_11_5_1.html

Endret URL-adressen "api.giphy.com" til *.giphy.com
2/21/2019Oppdatert 'Webex Calling' for å lese "Webex Calling (tidligere Spark Calling) som forespurt av John Costello, på grunn av kommende produktlansering med samme navn - Webex Calling gjennom BroadCloud.
2/6/2019Oppdatert teksten Hybrid Media Node for å lese Webex Video Mesh Node
1/11/2019Oppdatert tekst 'End to End krypterte filer lastet opp til Webex Teams spaces og Avatar lagring' for nå å lese 'End to End krypterte filer lastet opp til Webex Teams spaces, Avatar lagring, Webex Teams merkevare logoer'
1/9/2019Oppdatert for å fjerne følgende linje: '*For at Webex Room-enheter skal få tak i CA-sertifikatet som er nødvendig for å validere kommunikasjon gjennom din TLS-inspiserende proxy, vennligst kontakt din CSM, eller åpne en sak med Cisco TAC.
5. desember 2018Oppdaterte URL-adresser: Fjernet https:// fra fire oppføringer i Url-tabellen for Webex Teams:

https://api.giphy.com                           ->  api.giphy.com 
https://safebrowsing.googleapis.com             ->  safebrowsing.googleapis.com
http://www.msftncsi.com/ncsi.txt                ->  msftncsi.com/ncsi.txt
https://captive.apple.com/hotspot-detect.html   ->  captive.apple.com/hotspot-detect.html
  • Oppdatert koblet . CSV-fil for Webex Teams for å vise reviderte koblinger vist ovenfor
30. desember 2018Nye URL-adresser :
*.ciscosparkcontent.com, *.storage101.ord1.clouddrive.com, *.storage101.dfw1.clouddrive.com, *.storage101.iad3.clouddrive.com, https://api.giphy.com, https://safebrowsing.googleapis.com, http://www.msftncsi.com/ncsi.txt, https://captive.apple.com/hotspot-detect.html, *.segment.com, *.segment.io, *.amplitude.com,*.eum-appdynamics.com, *.docker.io, *.core-os.net, *.s3.amazonaws.com, *.identity.api.rackspacecloud.com
Støtte for flere proxy-godkjenningsmetoder for Windows, iOS og Android
Webex Board vedtar Room Device OS og funksjoner ; Proxy-funksjoner som deles av romenheter: SX, DX, MX, Room Kit-serien og Webex Board
Støtte for TLS-inspeksjon av iOS- og Android-apper
Fjerning av støtte for TLS-inspeksjon fjernet på romenheter: SX, DX, MX, Room Kit-serien og Webex Board
Webex Board vedtar Room Device OS og funksjoner ; 802.1X-støtte
21. desember 2018Følgende merknad lagt til IP-delnett for mediedelen : Ip-områdelisten ovenfor for skymedieressurser er ikke uttømmende, og det kan være andre IP-områder som brukes av Webex Teams som ikke er inkludert i listen ovenfor. Webex Teams-appen og -enhetene vil imidlertid kunne fungere normalt uten å kunne koble til IP-adressene for medier som ikke er oppført.
19. oktober 2018Merk lagt til: Webex Teams bruk av tredjeparter for diagnostisk og feilsøking av datainnsamling; og samlingen av krasj- og bruksmålinger. Dataene som kan sendes til disse tredjepartsnettstedene, er beskrevet i Webex' personverndataark. Hvis du vil ha mer informasjon, kan du se : https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-webex-privacy-data-sheet.pdf
Separat tabell for flere URL-adresser som brukes av hybridtjenester : *.cloudfront.net, *.docker.com, *.quay.io, *.cloudconnector.cisco.com, *.clouddrive.com
7. august 2018Merknad lagt til i porter og protokolltabell : Hvis du konfigurerer en lokal NTP- og DNS-server i OVA for videonettnoder, trenger ikke portene 53 og 123 å åpnes gjennom brannmuren.
7. mai 2018Omfattende dokumentrevisjon

Var denne artikkelen nyttig?