Правильно налаштований брандмауер і проксі-сервер є важливими для успішного розгортання викликів. Webex Calling використовує SIP та HTTPS для сигналізації викликів, а також пов’язані адреси та порти для медіа, мережевого з’єднання та підключення шлюзу, оскільки Webex Calling є глобальною службою.

Не всі конфігурації брандмауера вимагають відкриття портів. Однак, якщо ви використовуєте правила "всередині-назовні", вам потрібно відкрити порти для потрібних протоколів, щоб випустити служби.

Трансляція мережевих адрес (NAT)

Функціональність трансляції мережевих адрес (NAT) та трансляції портових адрес (PAT) застосовується на межі між двома мережами для трансляції адресних просторів або запобігання колізії IP-адресних просторів.

Організації використовують технології шлюзів, такі як брандмауери та проксі-сервери, що надають послуги NAT або PAT, щоб забезпечити доступ до Інтернету для програм Webex App або пристроїв Webex, що знаходяться в приватному просторі IP-адрес. Ці шлюзи створюють враження, що трафік від внутрішніх програм або пристроїв до Інтернету надходить з однієї або кількох публічно маршрутизованих IP-адрес.

  • Якщо розгортається NAT, відкривати вхідний порт на брандмауері не обов'язково.

  • Перевірити розмір пулу NAT, необхідний для підключення програм або пристроїв, коли кілька користувачів програм і пристроїв отримують доступ до Webex Calling & Сервіси, що підтримують Webex, використовують NAT або PAT. Переконайтеся, що пулам NAT призначено достатню кількість публічних IP-адрес, щоб запобігти вичерпанню портів. Виснаження портів призводить до того, що внутрішні користувачі та пристрої не можуть підключитися до служб Webex Calling та Webex Aware.

  • Визначте розумні періоди зв'язування та уникайте маніпулювання SIP на пристрої NAT.

  • Налаштуйте мінімальний час очікування NAT, щоб забезпечити належну роботу пристроїв. Приклад: Телефони Cisco надсилають повідомлення про оновлення РЕЄСТРАЦІЇ кожні 1-2 хвилини.

  • Якщо ваша мережа використовує NAT або SPI, тоді встановіть більший тайм-аут (принаймні 30 хвилин) для з’єднань. Цей тайм-аут забезпечує надійне з’єднання, одночасно зменшуючи споживання заряду акумулятора мобільними пристроями користувачів.

Шлюз рівня застосунків SIP

Якщо маршрутизатор або брандмауер підтримує SIP, що означає, що шлюз SIP Application Layer Gateway (ALG) або подібний увімкнено, радимо вимкнути цю функцію для точної роботи сервісу. Хоча весь трафік Webex Calling шифрується, деякі реалізації SIP ALG можуть спричиняти проблеми з обходом брандмауера. Тому ми рекомендуємо вимкнути SIP ALG, щоб забезпечити високу якість обслуговування.

Перевірте відповідну документацію виробника, щоб дізнатися, як вимкнути SIP ALG на певних пристроях.

Підтримка проксі-сервера для Webex Calling

Організації розгортають інтернет-брандмауер або інтернет-проксі та брандмауер для перевірки, обмеження та контролю HTTP-трафіку, який виходить та входить до їхньої мережі. Таким чином захищаючи свою мережу від різних форм кібератак.

Проксі-сервери виконують кілька функцій безпеки, таких як:

  • Дозволити або заблокувати доступ до певних URL-адрес.

  • Аутентифікація користувачів

  • ІП address/domain/hostname/URI пошук репутації

  • Розшифрування та перевірка трафіку

Після налаштування функції проксі-сервера це застосовується до всіх програм, що використовують протокол HTTP.

Додатки Webex та додатки для пристроїв Webex включають наступне:

  • Служби Webex

  • Процедури активації пристроїв клієнта (CDA) з використанням платформи Cisco Cloud Provisioning, такої як GDS, активація пристроїв EDOS, провізіонування & адаптація до хмари Webex.

  • Автентифікація сертифіката

  • Оновлення прошивки

  • Звіти про стан

  • Завантаження PRT

  • Послуги XSI

Якщо налаштовано адресу проксі-сервера, то лише сигнальний трафік (HTTP/HTTPS) надсилається на проксі-сервер. Клієнти, які використовують SIP для реєстрації в службі Webex Calling, та пов’язані медіафайли не надсилаються на проксі-сервер. Тому дозвольте цим клієнтам проходити безпосередньо через брандмауер.

Підтримувані параметри проксі-сервера, конфігурація & Типи автентифікації

Підтримувані типи проксі-серверів:

  • Явний проксі-сервер (з інспекцією чи без неї) — налаштуйте клієнтську програму або пристрій із явним проксі-сервером, щоб указати сервер, який потрібно використовувати.

  • Прозорий проксі-сервер (без перевірки) — клієнти не налаштовані на використання певної адреси проксі-сервера та не потребують жодних змін для роботи з проксі-сервером без перевірки.

  • Прозорий проксі-сервер (перевірка) — клієнти не налаштовані на використання певної адреси проксі-сервера. Зміни конфігурації HTTP не потрібні; проте вашим клієнтам, або програмам, або пристроям, потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. ІТ-команда використовує проксі-сервери для перевірки, щоб запровадити правила щодо веб-сайтів, які можна відвідувати, та типів контенту, які заборонені.

Налаштуйте проксі-адреси вручну для пристроїв Cisco та застосунку Webex за допомогою:

Під час налаштування бажаних типів продуктів виберіть одну з наступних конфігурацій проксі-сервера & типи автентифікації в таблиці:

Продукт

Конфігурація проксі

Тип автентифікації

Webex для Mac

Вручну, WPAD, PAC

Без автентифікації, базова, NTLM,

Webex для Windows

Вручну, WPAD, PAC, GPO

Без автентифікації, Базова, NTLM, , Узгодження

Webex для iOS

Вручну, WPAD, PAC

Без автентифікації, базова, дайджест, NTLM

Webex для Android

Вручну, PAC

Без автентифікації, базова, дайджест, NTLM

Webex Web App

Підтримується через ОС

Без автентифікації, базова, дайджест, NTLM, узгодження

Пристрої Webex

WPAD, PAC або вручну

Без автентифікації, базова, дайджест

IP-телефони Cisco

Вручну, WPAD, PAC

Без автентифікації, базова, дайджест

Video Mesh Node у Webex

Вручну

Без автентифікації, базова, дайджест, NTLM

Для легенд у таблиці:

  1. Mac NTLM Auth – комп’ютер не потребує входу в домен, користувачеві пропонується ввести пароль

  2. Автентифікація Windows NTLM – підтримується, лише якщо комп’ютер увійшов до домену

  3. Узгодження - Kerberos з резервною автентифікацією NTLM.

  4. Щоб підключити пристрій Cisco Webex Board, Desk або Room Series до проксі-сервера, див. Підключення пристрою Board, Desk або Room Series до проксі-сервера.

  5. Для IP-телефонів Cisco див. Налаштування проксі-сервера як приклад налаштування проксі-сервера та параметрів.

Для No Authenticationналаштуйте клієнта з адресою проксі-сервера, яка не підтримує автентифікацію. Під час використання Proxy Authenticationналаштуйте з дійсними обліковими даними. Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з'єднанню веб-сокетів. Якщо виникає ця проблема, обхід неінспекційного трафіку до *.Webex.com може вирішити проблему. Якщо ви вже бачите інші записи, додайте крапку з комою після останнього запису, а потім введіть виняток Webex.

Налаштування проксі-сервера для ОС Windows

Microsoft Windows підтримує дві мережеві бібліотеки для HTTP-трафіку (WinINet та WinHTTP), які дозволяють налаштування проксі-сервера. WinINet є надмножиною WinHTTP.

  1. WinInet розроблений для однокористувацьких клієнтських програм для робочого столу.

  2. WinHTTP розроблений переважно для багатокористувацьких серверних програм.

Вибираючи між цими двома варіантами, виберіть WinINet для налаштувань конфігурації проксі-сервера. Детальніше див. wininet-проти-winhttp.

Див. Налаштування списку дозволених доменів для доступу до Webex під час перебування у вашій корпоративній мережі для отримання детальної інформації про наступне:

  • Щоб користувачі входили в програми лише за допомогою облікових записів із попередньо визначеного списку доменів.

  • Використовуйте проксі-сервер для перехоплення запитів і обмеження дозволених доменів.

Перевірка проксі й закріплення сертифіката

Додаток і пристрої Webex перевіряють сертифікати серверів під час встановлення сеансів TLS. Перевірки сертифікатів, такі як перевірка емітента сертифіката та цифрового підпису, покладаються на перевірку ланцюжка сертифікатів аж до кореневого сертифіката. Для виконання перевірок валідації програма та пристрої Webex використовують набір довірених кореневих сертифікатів CA, встановлених у сховищі довірених сертифікатів операційної системи.

Якщо ви розгорнули проксі-сервер з перевіркою TLS для перехоплення, розшифрування та перевірки трафіку Webex Calling. Переконайтеся, що сертифікат, який надає проксі-сервер (замість сертифіката служби Webex), підписано центром сертифікації, а кореневий сертифікат встановлено у сховищі довірених сертифікатів вашої програми Webex або пристрою Webex.

  • Для застосунку Webex – інсталюйте сертифікат центру сертифікації, який використовується для підписання сертифіката проксі-сервером, в операційній системі пристрою.

  • Для пристроїв Webex Room та мультиплатформних IP-телефонів Cisco – відкрийте запит на обслуговування до команди TAC, щоб встановити сертифікат CA.

У цій таблиці наведено застосунок Webex та пристрої Webex, які підтримують перевірку TLS проксі-серверами.

Продукт

Підтримує перевірку TLS для користувацьких довірених ЦС

Програма Webex (для Windows, Mac, iOS, Android, інтернету)

Так

Пристрої Webex Room

Так

Багатоплатформні IP-телефони Cisco (MPP)

Так

Конфігурація брандмауера

Cisco підтримує сервіси Webex Calling та Webex Aware у захищених центрах обробки даних Cisco та Amazon Web Services (AWS). Amazon зарезервував свої IP-підмережі виключно для використання Cisco та захистив сервіси, розташовані в цих підмережах, у віртуальній приватній хмарі AWS.

Налаштуйте брандмауер, щоб забезпечити належне виконання функцій зв’язку між вашими пристроями, програмами додатків та інтернет-сервісами. Ця конфігурація надає доступ до всіх підтримуваних хмарних сервісів Webex Calling та Webex Aware, доменних імен, IP-адрес, портів та протоколів.

Додайте до білого списку або відкрийте доступ до наступного, щоб служби Webex Calling та Webex Aware працювали належним чином.

  • The URLs/Domains згадано в розділі Домени та URL-адреси для служб викликів Webex

  • IP-підмережі, порти та протоколи, згадані в розділі IP-підмережі для служб викликів Webex

  • Якщо ви використовуєте пакет хмарних сервісів для співпраці Webex Suite у своїй організації, Webex Meetings, Messaging, консоль оператора Webex та інші сервіси, переконайтеся, що у вас є IP-підмережі, Domains/URLs згадані в цих статтях відкриті Вимоги до мережі для служб Webex та Вимоги до мережі для консолі оператора

Якщо ви використовуєте лише брандмауер, фільтрація трафіку Webex Calling лише за IP-адресами не підтримується, оскільки деякі пули IP-адрес є динамічними та можуть змінюватися будь-коли. Регулярно оновлюйте свої правила, оскільки неоновлення списку правил брандмауера може вплинути на взаємодію з користувачами. Cisco не рекомендує фільтрацію підмножини IP-адрес на основі певного географічного регіону чи постачальника хмарних послуг. Фільтрування за регіоном може призвести до серйозного погіршення роботи з викликами.

Cisco не підтримує динамічно змінювані пули IP-адрес, тому їх немає в цій статті.

Якщо ваш брандмауер не підтримує Domain/URL фільтрацію, а потім скористайтеся опцією проксі-сервера підприємства. Цей варіант filters/allows від URL/domain сигналізуючий трафік HTTPS до служб Webex Calling та Webex Aware на вашому проксі-сервері, перш ніж переадресовувати його на брандмауер.

Ви можете налаштувати трафік за допомогою фільтрації портів та IP-підмереж для медіафайлів викликів. Оскільки медіатрафік вимагає прямого доступу до Інтернету, виберіть опцію фільтрації URL-адрес для сигналізації трафіку.

Для Webex Calling Cisco надає перевагу транспортному протоколу для медіа, і компанія рекомендує використовувати лише SRTP замість UDP. Протоколи транспортування медіа TCP та TLS не підтримуються для Webex Calling у робочих середовищах. Орієнтований на з'єднання характер цих протоколів впливає на якість медіа в мережах з втратами. Якщо у вас є запитання щодо протоколу транспортування, надішліть запит до служби підтримки.

Схема розгортання служб Cisco Webex Calling, що ілюструє архітектуру мережі, потоки зв'язку та вимоги до портів для хмарних компонентів.

Домени та URL-адреси для сервісів Webex Calling

А * відображається на початку URL-адреси (наприклад, *.webex.com) вказує на те, що сервіси у домені верхнього рівня та всіх піддоменах доступні.

Домен / URL

Опис

Програми й пристрої Webex, які використовують ці домени або URL-адреси

Служби Cisco Webex

*.broadcloudpbx.com

Мікросервіси авторизації Webex для перехресного запуску від Control Hub до порталу виклику адміністратора.

Control Hub

*.broadcloud.com.au

Служби Webex Calling в Австралії.

Усе

*.broadcloud.eu

Служби Webex Calling в Європі.

Усе

*.broadcloudpbx.net

Конфігурація клієнта Calling і керування послугами.

Програми Webex

*.webex.com

*.cisco.com

Основні виклики Webex & Сервіси Webex Aware

  1. Надання ідентифікаційних даних

  2. Зберігання ідентифікаційних даних

  3. Автентифікація

  4. Сервіси OAuth

  5. Реєстрація пристрою

  6. Cloud Connected UC

Коли телефон підключається до мережі вперше або після скидання до заводських налаштувань без налаштувань DHCP, він зв’язується із сервером активації пристрою для автоматичного налаштування. Нові телефони використовують activate.cisco.com, а телефони з прошивкою версії раніше 11.2(1) продовжують використовувати webapps.cisco.com для налаштування.

Завантажте оновлення прошивки пристрою та локалізації з binaries.webex.com.

Дозвольте телефонам Cisco Multiplatform (MPP) версії 12.0.3 доступ до sudirenewal.cisco.com через порт 80 для оновлення сертифіката, встановленого виробником (MIC), та отримання безпечного унікального ідентифікатора пристрою (SUDI). Детальніше див. Польове повідомлення.

Якщо ви не використовуєте проксі-сервер, а лише брандмауер для фільтрації URL-адрес, додайте CNAME *.cloudfront.net, щоб дозволити цей список.

Усі

*.ucmgmt.cisco.com

Служби Webex Calling

Control Hub

*.wbx2.com та *.ciscospark.com

Використовується для хмарної інформації, щоб зв'язатися з Webex Calling & Послуги Webex Aware під час та після адаптації.

Ці послуги необхідні для

  • Керування програмами та пристроями

  • Механізм сповіщень про програми, управління послугами

Усі

*.webexapis.com

Мікросервіси Webex, які керують вашими програмами Webex App та пристроями Webex.

  1. Сервіс фотографій профілю

  2. Послуги з нанесення на білу дошку

  3. Послуга визначення близькості

  4. Послуга присутності

  5. Реєстраційна служба

  6. Служба календаря

  7. Пошуковий сервіс

Усі

*.webexcontent.com

Сервіси обміну повідомленнями Webex, пов’язані зі загальним зберіганням файлів, зокрема:

  1. Файли користувача

  2. Перекодовані файли

  3. Зображення

  4. Знімки екрана

  5. Вміст білої дошки

  6. Клієнт & журнали пристроїв

  7. Фотографії профілю

  8. Брендування логотипів

  9. Файли журналу

  10. Масовий експорт CSV-файлів & імпорт файлів (Центр керування)

Служби обміну повідомленнями Webex Apps.

Зберігання файлів за допомогою webexcontent.com замінено на clouddrive.com у жовтні 2019 року

*.accompany.com

Інтеграція аналітики персоналу

Програми Webex

Додаткові послуги, пов'язані з Webex (Домени третіх сторін)

*.appdynamics.com

*.eum-appdynamics.com

Відстеження продуктивності, запис помилок і аварійних збоїв, показники сеансу.

Додаток Webex, веб-додаток Webex

*.sipflash.com

Сервіси керування пристроями. Оновлення прошивки та безпечна адаптація.

Програми Webex

*.walkme.com *.walkmeusercontent.com

Клієнт посібника користувача Webex. Надає інструкції з приєднання і використання для нових користувачів.

Щоб отримати додаткову інформацію про WalkMe, клацніть тут.

Програми Webex

*.google.com

*.googleapis.com

Сповіщення для програм Webex на мобільних пристроях (наприклад: нове повідомлення, коли на дзвінок відповіли)

Щодо IP-підмереж, перейдіть за цими посиланнями

Хмарний сервіс обміну повідомленнями Google Firebase (FCM)

Служба push-сповіщень Apple (APNS)

Для APNS Apple перераховує IP-підмережі для цієї служби.

Програма Webex

IP-підмережі для служб Webex Calling

IP-підмережі для служб Webex Calling*

23.89.0.0/16

62.109.192.0/18

85.119.56.0/23

128.177.14.0/24

128.177.36.0/24

135.84.168.0/21

139.177.64.0/21

139.177.72.0/23

144.196.0.0/16

150.253.128.0/17

163.129.0.0/17

170.72.0.0/16

170.133.128.0/18

185.115.196.0/22

199.19.196.0/23

199.19.199.0/24

199.59.64.0/21

Конфігурація пристрою і керування мікропрограмним забезпеченням (пристрої Cisco)

3.14.211.49

3.20.185.219

3.130.87.169

3.134.166.179

52.26.82.54

62.109.192.0/18

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

Конфігурація застосунку Webex

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

Мета підключення

Адреси джерелаПорти джерелаПротоколАдреси призначенняПорти призначенняПримітки
Передавання сигналів виклику до Webex Calling (TLS SIP)Зовнішній (NIC) локального шлюзу8000-65535TCPДив. розділ Підмережі IP для служб Webex Calling.5062, 8934

Ці IPs/ports потрібні для сигналізації вихідних викликів SIP-TLS від локальних шлюзів, пристроїв і програм Webex (джерело) до Webex Calling Cloud (призначення).

Порт 5062 (обов'язковий для транкінгу на основі сертифікатів). І порт 8934 (потрібний для транкової лінії на основі реєстрації)

Пристрої5060-50808934
Серія RoomКороткотерміновий
Програма Webex Тимчасовий (залежить від ОС)
Сигналізація виклику від Webex Calling (SIP TLS) до локального шлюзу

Діапазон адрес Webex Calling.

Див.IP-підмережі для служб викликів Webex

8934TCPIP-адреса або діапазони IP-адрес, обрані клієнтом для його локального шлюзуПорт або діапазон портів, обраний клієнтом для його локального шлюзу

Стосується локальних шлюзів на основі сертифікатів. Потрібно встановити з’єднання між Webex Calling та локальним шлюзом.

Локальний шлюз на основі реєстрації працює на основі повторного використання з'єднання, створеного з локального шлюзу.

Порт призначення вибрано клієнтом Налаштувати транкінгові лінії

Виклик медіафайлів до Webex Calling (STUN, SRTP/SRTCP, Т38, ДТЛС)Зовнішній NIC локального шлюзу8000-48199*UDPДив. розділ Підмережі IP для служб Webex Calling.

5004, 9000 (STUN-порти)

Аудіо: 8500-8599

Відео: 8600-8699

19560-65535 (SRTP через UDP)

  • Ці IPs/ports використовуються для вихідних медіа-викликів SRTP від локальних шлюзів, пристроїв і програм Webex (джерело) до Webex Calling Cloud (призначення).

  • Для викликів всередині організації, де узгодження STUN та ICE успішне, медіа-ретранслятор у хмарі видаляється як шлях зв'язку. У таких випадках медіапотік відбувається безпосередньо між користувачем Apps/devices.

    Приклад: Якщо оптимізація медіафайлів успішна, програма Webex надсилає медіафайли безпосередньо один одному через діапазони портів 8500–8699, а пристрої надсилають медіафайли безпосередньо один одному через діапазони портів 19560–19661.

  • Для певних мережевих топологій, де в приміщенні клієнта використовуються брандмауери, дозвольте доступ для зазначених діапазонів портів джерела та призначення всередині вашої мережі для передачі медіаданих.

    Приклад: Для застосунку Webex дозвольте діапазон портів джерела та призначення

    Аудіо: 8500-8599 Video:8600-8699

  • Браузери використовують тимчасовий вихідний порт, яким можна керувати, встановивши політику WebRtcUdpPortRange у профілі керування керованими пристроями (MDM).

    Служба викликів Webex працює нормально, якщо не налаштовано службу MDM або якщо не налаштовано SiteURL та EnableForceLogin .

Пристрої*19560-19661
Серія кімнат*Аудіо

52050-52099

Відео

52200-52299

Пристрої VG400 ATA

19560-19849
Додаток Webex*

Аудіо: 8500-8599

Відео: 8600-8699

WebRTC

Ефемерний (відповідно до політики браузера)
Медіафайли дзвінків від Webex Calling (SRTP/SRTCP, Т38)

Діапазон адрес Webex Calling.

Див.IP-підмережі для служб викликів Webex

19560-65535 (SRTP через UDP) UDPIP-адреса або діапазон IP-адрес, обраний клієнтом для свого локального шлюзу Діапазон медіапортів, обраний клієнтом для його локального шлюзу

Стосується локальних шлюзів на основі сертифікатів

Передавання сигналів виклику до шлюзу PSTN (TLS SIP)Внутрішній NIC локального шлюзу8000-65535TCPВаш шлюз PSTN ITSP або Unified CMЗалежить від параметра PSTN (наприклад, зазвичай для Unified CM використовується 5060 або 5061)
Виклик медіа на шлюз PSTN (SRTP/SRTCP)Внутрішній NIC локального шлюзу8000-48199*UDPВаш шлюз PSTN ITSP або Unified CMЗалежить від опції PSTN (наприклад, зазвичай 5060 або 5061 для Unified CM)
Конфігурація пристрою і керування мікропрограмним забезпеченням (пристрої Cisco)Пристрої Webex CallingКороткотерміновийTCP

Див.IP-підмережі для служб викликів Webex

443, 6970, 80

Необхідно з наступних причин:

  1. Міграція з корпоративних телефонів (Cisco Unified CM) на Webex Calling. Див. upgrade.cisco.com для отримання додаткової інформації. cloudupgrader.webex.com використовує порти: 6970,443 для процесу міграції прошивки.

  2. Оновлення прошивки та безпечне підключення пристроїв (MPP та кімнатних або настільних телефонів) за допомогою 16-значного коду активації (GDS)

  3. Для CDA / EDOS – надання ресурсів на основі MAC-адрес. Використовується пристроями (MPP-телефони, ATA й SPA ATA) з новішим мікропрограмним забезпеченням.

  4. Для пристроїв Cisco ATA переконайтеся, що вони використовують мінімальну версію прошивки 11.1.0MSR3-9.

  5. Коли телефон підключається до мережі вперше або після скидання до заводських налаштувань без налаштувань DHCP, він зв’язується із сервером активації пристрою для автоматичного налаштування. Нові телефони використовують activate.cisco.com замість webapps.cisco.com для налаштування. Телефони з прошивкою, випущеною раніше версії 11.2(1), продовжують використовувати webapps.cisco.com. Рекомендується дозволити всі ці IP-підмережі.

  6. Дозволити телефонам Cisco Multiplatform (MPP) версії 12.0.3 доступ до sudirenewal.cisco.com через порт 80 для поновлення сертифіката, встановленого виробником (MIC), та отримання безпечного унікального ідентифікатора пристрою (SUDI). Детальніше див. Польове повідомлення

Конфігурація застосунку WebexПрограми WebexКороткотерміновийTCP

Див.IP-підмережі для служб викликів Webex

443, 8443Використовується для автентифікації брокера ідентифікації, служб налаштування застосунку Webex для клієнтів, веб-доступу на основі браузера для самостійного обслуговування ТА доступу до адміністративного інтерфейсу.
TCP-порт 8443 використовується програмою Webex у налаштуваннях Cisco Unified CM для завантаження конфігурації. Відкривати порт повинні лише клієнти, які використовують налаштування для підключення до Webex Calling.
Синхронізація часу пристрою (NTP)Пристрої Webex Calling51494UDPДив. розділ Підмережі IP для служб Webex Calling.123Ці IP-адреси необхідні для синхронізації часу на пристроях (телефони MPP, ATA й SPA ATA)

Розділення DNS (система доменних імен)

Пристрої Webex Calling, застосунок Webex та пристрої WebexКороткотерміновийUDP й TCPВизначив хост53Використовується для пошуку DNS для виявлення IP-адрес сервісів Webex Calling у хмарі. Хоча типові DNS-запити виконуються через UDP, деякі можуть вимагати TCP, якщо відповіді на запити не можуть поміститися в UDP-пакети.
Протокол мережевого часу (NTP)Додаток Webex та пристрої Webex123UDPВизначив хост123Синхронізація часу
CScanВеб-інструмент попередньої кваліфікації готовності до мережі для Webex CallingКороткотерміновийTCPДив. розділ Підмережі IP для служб Webex Calling.8934 та 443Веб-інструмент попередньої кваліфікації готовності мережі для Webex Calling. Додаткову інформацію див. на сторінці cscan.webex.com.
UDP19569-19760
Додаткові виклики Webex & Послуги Webex Aware (Сторонні постачальники)
Push-сповіщення сервісів APNS та FCM Програми для викликів Webex КороткотерміновийTCP

Зверніться до IP-підмереж, згаданих за посиланнями

Служба push-сповіщень Apple (APNS)

Хмарний обмін повідомленнями Google-Firebase (FCM)

443, 2197, 5228, 5229, 5230, 5223Сповіщення для програм Webex на мобільних пристроях (наприклад: Коли ви отримуєте нове повідомлення або коли на вас відповідають)
  • *Діапазон медіапортів CUBE можна налаштувати за допомогою rtp-port range.

  • *Медіапорти для пристроїв та програм, які динамічно призначаються в діапазонах портів SRTP. Порти SRTP мають парні номери, а відповідний порт SRTCP виділяється разом із послідовним портом із непарним номером.

  • Якщо для ваших програм і пристроїв налаштовано адресу проксі-сервера, сигнальний трафік надсилається на проксі-сервер. Медіафайли, що передаються за протоколом SRTP через UDP, надходять безпосередньо до вашого брандмауера, а не до проксі-сервера.

  • Якщо ви використовуєте служби NTP та DNS у вашій корпоративній мережі, відкрийте порти 53 та 123 через брандмауер.

Розмір MTU для Webex Calling & Сервіси Webex Aware

Максимальна одиниця передачі (MTU) – це найбільший розмір IP-пакету, який може передати через мережеве з'єднання без необхідності фрагментації. Проблеми можуть виникнути, якщо для MTU не встановлено значення за замовчуванням. Webex Calling рекомендує підтримувати розмір MTU за замовчуванням, що становить 1500 байт, для всіх IP-пакетів у вашій мережі.

Для служб Webex Calling та Webex Aware, якщо пакет потребує фрагментації, встановіть біт «Не фрагментувати» (DF), щоб вимагати зв’язку ICMP.

Якість обслуговування (QoS)

Дозволяє ввімкнути тегування пакетів від локального пристрою або клієнта до хмарної платформи Webex Calling. QoS дозволяє вам пріоритезувати трафік реального часу над іншим трафіком даних. Увімкнення цього параметра змінює позначки QoS для програм і пристроїв, які використовують сигналізацію та медіа SIP.

Адреси джерел Тип трафіку Адреси призначення Порти джерела Порти призначення Клас та значення DSCP
Програма Webex Аудіо

Зверніться до IP-підмереж, доменів та URL-адрес для служб викликів Webex

8500-8599 8500-8599, 19560-65535 Прискорене пересилання (46)
Програма Webex Відео 8600-8699 8600-8699, 19560-65535 Гарантована експедиція 41 (34)
Програма Webex Передавання сигналів Тимчасовий (залежить від ОС) 8934 CS0 (0)
Пристрої Webex (MPP та кімната)Аудіо та відео 19560-19661 19560-65535

Прискорене пересилання (46) &

Гарантована експедиція 41 (34)

Пристрої Webex Передавання сигналів 5060-5080 8934 Вибір класу 3 (24)
  • Створіть окремий профіль QoS для аудіо та Video/Share оскільки вони мають різний діапазон портів джерела для різного позначення трафіку.

  • Для клієнтів Windows: Щоб увімкнути диференціацію вихідних портів UDP для вашої організації, зверніться до місцевої команди з обслуговування клієнтів. Без увімкнення ви не зможете розрізнити аудіо та Video/Share використання політик якості обслуговування Windows (GPO), оскільки вихідні порти однакові для audio/video/share. Докладніше див. Увімкнення діапазонів портів джерела медіа для застосунку Webex

  • Для пристроїв Webex налаштуйте зміни параметрів QoS у налаштуваннях пристрою Control Hub. Детальніше див. Налаштувати & змінити налаштування пристрою в Webex-Calling

Webex Meetings / обмін повідомленнями: вимоги до мережі

Для клієнтів, які використовують пакет хмарних сервісів для співпраці Webex Suite, зареєстровані продукти Webex Cloud, необхідно підключити пристрої MPP до Webex Cloud для таких сервісів, як історія викликів, пошук у довіднику, зустрічі та обмін повідомленнями. Переконайтеся, що Domains/URLs/IP Addresses/Ports згадані в цій статті відкриті Мережеві вимоги для служб Webex.

Вимоги до мережі для Webex для уряду

Для клієнтів, яким потрібен список доменів, URL-адрес, діапазонів IP-адрес і портів для служб Webex для уряду, інформацію можна знайти тут: Вимоги до мережі для Webex for Government

Вимоги до мережі для консолі Webex Attendant Console

Для клієнтів, які користуються функцією консолі оператора – рецепціонерів, операторів та операторів, переконайтеся, що Domains/URLs/IP Addresses/Ports/Protocols відкриті Вимоги до мережі для консолі оператора

Початок роботи з локальним шлюзом викликів Webex

Для клієнтів, які використовують рішення Local Gateway з Webex Calling для забезпечення сумісності PSTN на базі приміщення та сторонніх SBC, прочитайте статтю Початок роботи з Local Gateway

Посилання

Щоб дізнатися про нові можливості Webex Calling, див. Що нового в Webex Calling

Вимоги безпеки для Webex Calling див. у статті

Оптимізація медіа-дзвінків Webex за допомогою встановлення інтерактивного з’єднання (ICE) Стаття

Історія редагувань документа

Дата

До цієї статті внесено наведені нижче зміни

15 вересня 2025 року

  • Додано IP-адресу 3.14.211.49 до списку IP-підмереж, що використовуються для конфігурації пристроїв Cisco та керування прошивкою. Ця адреса потрібна для ручної міграції MPP за допомогою альтернативного методу TFTP.

  • Оновлено сигналізацію & Діапазон портів джерела медіа для пристроїв серії Room.

  • Видалено залежність від Центру керування зі списку доменів & URL-адреси для служб Webex Calling у розділі «Додаткові послуги, пов’язані з Webex (домени третіх сторін)».

  • Внесено загальні корективи в дизайн

10 квітня 2025 року

Додано текст, що підкреслює розмір MTU для сервісів Webex Calling та Webex Aware

27 березня 2025 року

Оновлено IP-підмережу для служб Webex Calling 62.109.192.0/18 для забезпечення розширення ринку Webex Calling у регіоні Саудівської Аравії.

21 січня 2025 року

Додано деталі щодо використання шлюзу рівня застосунків SIP.

8 січня 2025 року

IP-адресу підмережі, пов’язану з конфігурацією пристрою та конфігурацією програми Webex, переміщено до розділу IP-підмережі для служб викликів Webex

17 грудня 2024 року

Додано підтримку WebRTC для специфікації Webex Calling Media.

14 листопада 2024 року

Оновлено підтримуваний діапазон портів для медіафайлів викликів Webex Calling для пристрою ATA серії VG400.

11 листопада 2024 року

Додано підтримуваний діапазон портів для медіафайлів викликів Webex Calling для пристрою ATA серії VG400.

25 липня 2024 року

Повернуто IP-підмережу 52.26.82.54, оскільки вона потрібна для конфігурації пристрою Cisco ATA та керування прошивкою.

18 липня 2024 року

Оновлено з наступними деталями:

  • Якість обслуговування (TOS/DSCP) значення, що підтримуються для Webex Calling (додатки, пристрої)

  • Оновлено схему мережі

  • Включно з посиланням на мережеві вимоги, пов’язані з консоллю Webex Attendant.

28 червня 2024 року

Оновлено використання обох діапазонів портів SRTP/SRTCP для специфікації Webex Calling Media.

11 червня 2024 року

Видалено домен "huron-dev.com", оскільки він не використовується.

6 травня 2024 року

Оновлено використання обох діапазонів портів SRTP/SRTCP для специфікації Webex Calling Media.

3 квітня 2024 року

Оновлено IP-підмережі для служб Webex Calling за допомогою 163.129.0.0/17 для забезпечення розширення ринку Webex Calling в регіоні Індії.

18 грудня 2023 року

Включено URL-адресу sudirenewal.cisco.com та вимогу щодо порту 80 для конфігурації пристрою та керування прошивкою для оновлення MIC телефону Cisco MPP.

11 грудня 2023 року

Оновлено IP-підмережі для служб Webex Calling, щоб включити більший набір IP-адрес.

150.253.209.128/25 – змінено на 150.253.128.0/17

29 листопада 2023 року

Оновлено IP-підмережі для служб Webex Calling, щоб включити більший набір IP-адрес для забезпечення розширення регіону Webex Calling для майбутнього зростання.

144.196.33.0/25 – змінено на 144.196.0.0/16

Розділи «IP-підмережі для служб Webex Calling» у розділах «Webex Calling (SIP TLS)» та «Медіафайли викликів до Webex Calling (STUN, SRTP)» оновлено для уточнення вимог щодо транкінгу на основі сертифікатів та брандмауера для локального шлюзу.

14 серпня 2023 р.

Ми додали такі IP-адреси 144.196.33.0/25 і 150.253.156.128/25 для підтримки підвищених вимог до потужності для служб викликів Edge та Webex.

Цей діапазон IP-адрес підтримується лише в регіоні США.

5 липня 2023 року

Додано посилання https://binaries.webex.com для встановлення прошивки Cisco MPP.

7 березня 2023 р.

Ми повністю переробили статтю, включивши до неї:

  1. Включені опції для підтримки проксі-сервера.

  2. Змінена схема потоку викликів

  3. Спрощено Domains/URLs/IP частини підмережі для служб Webex Calling та Webex Aware

  4. Додано 170.72.0.0/16 Діапазон IP-підмереж для Webex Calling & Сервіси Webex Aware.

    Видалено такі діапазони: 170.72.231.0, 170.72.231.10, 170.72.231.161 та 170.72.242.0/24

5 березня 2023 р.

Оновлення статті з урахуванням наступного:

  • Додано діапазон портів UDP-SRTP (8500-8700), що використовується програмами.

  • Додано порти для служб push-сповіщень APNS та FCM.

  • Розділити діапазон портів CScan для UDP & ТСР.

  • Додано розділ з посиланнями.

15 листопада 2022 р.

Ми додали такі IP-адреси для конфігурації пристроїв та керування прошивкою (пристрої Cisco):

  • 170.72.231.0

  • 170.72.231.10

  • 170.72.231.161

Ми видалили такі IP-адреси з конфігурації пристроїв та керування прошивкою (пристрої Cisco):

  • 3.20.118.133

  • 3.20.228.133

  • 3.23.144.213

  • 3.130.125.44

  • 3.132.162.62

  • 3.140.117.199

  • 18.232.241.58

  • 35.168.211.203

  • 50.16.236.139

  • 52.45.157.48

  • 54.145.130.71

  • 54.156.13.25

  • 52.26.82.54

  • 54.68.1.225

14 листопада 2022 року

Додано IP-підмережу 170.72.242.0/24 для служби Webex Calling.

Вересень 08, 2022

Мікропрограма Cisco MPP переходить на використання https://binaries.webex.com як URL-адреси хоста для оновлень мікропрограми MPP у всіх регіонах. Ця зміна підвищує продуктивність оновлення мікропрограми.

Серпень 30, 2022

Видалено посилання на порт 80 з рядків "Конфігурація пристрою та керування прошивкою (пристрої Cisco), "Конфігурація програми" та "CScan" у таблиці "Порт", оскільки залежності немає.

Серпень 18, 2022

Жодних змін у рішенні. Оновлено порти призначення 5062 (необхідні для багажника на основі сертифікатів), 8934 (необхідні для каналу реєстрації) для сигналізації виклику до Webex Calling (SIP TLS).

Липень 26, 2022

Додано IP-адресу 54.68.1.225, яка потрібна для оновлення прошивки пристроїв Cisco 840/860.

Липень 21, 2022

Оновлено порти призначення 5062, 8934 для сигналізації виклику до Webex Calling (SIP TLS).

Липень 14, 2022

Додано URL-адреси, що підтримують повну функціональність сервісів Webex Aware.

Додано IP-підмережу 23.89.154.0/25 для служби Webex Calling.

Червні 27, 2022

Оновлено домен та URL-адреси для послуг Webex Calling:

*.broadcloudpbx.com

*.broadcloud.com.au

*.broadcloud.eu

*.broadcloudpbx.net

Червні 15, 2022

Додано такі порти та протоколи в розділі IP-адреси та порти для послугвиклику Webex:

  • Мета підключення: Особливості Вебекса

  • Адреси джерел: Пристрої для виклику Webex

  • Вихідні порти: Короткотерміновий

  • Протокол: TCP

  • Адреси призначення: Див. розділ «Підмережі IP та домени», визначений у Webex Meetings/Messaging - Вимоги до мережі.

  • Порти призначення: 443

    Примітки. Пристрої виклику Webex використовують ці IP-адреси та домени для взаємодії з хмарними сервісами Webex, такими як каталог, історія викликів та зустрічі.

Оновлена інформація у Webex Meetings/Messaging - Розділ «Вимоги до мережі»

Травень 24, 2022

Додано IP-підмережу 52.26.82.54/24 до 52.26.82.54/32 для послуги Webex Calling

Травень 6, 2022

Додано IP-підмережу 52.26.82.54/24 для послуги Webex Calling

7 квітня 2022 р.

Оновлено діапазон внутрішніх та зовнішніх портів UDP локального шлюзу до 8000-48198

5 квітня 2022 р.

Додано наступні підмережі IP для служби Webex Calling:

  • 23.89.40.0/25

  • 23.89.1.128/25

29 березня 2022 р.

Додано наступні підмережі IP для служби Webex Calling:

  • 23.89.33.0/24

  • 150.253.209.128/25

20 вересня 2021 р.

Додано 4 нові підмережі IP для служби Webex Calling:

  • 23.89.76.128/25

  • 170.72.29.0/24

  • 170.72.17.128/25

  • 170.72.0.128/25

2 квітня 2021 р.

Додано *.ciscospark.com у розділі Домени та URL-адреси для служб викликів Webex для підтримки випадків використання Webex Calling у застосунку Webex.

25 березня 2021 р.

Додано 6 нових діапазонів IP-адрес для activate.cisco.com, що діє з 8 травня 2021 року.

  • 72.163.15.64/26

  • 72.163.15.128/26

  • 173.36.127.0/26

  • 173.36.127.128/26

  • 192.133.220.0/26

  • 192.133.220.64/26

4 березня 2021 р.

Замінено дискретні IP-адреси Webex Calling і менші діапазони IP зі спрощеними діапазонами в окремій таблиці для зручності розуміння конфігурації брандмауера.

26 лютого 2021 р.

Додано 5004 як порт призначення для виклику медіа до Webex Calling (STUN, SRTP) для підтримки інтерактивного встановлення зв'язку (ICE), яке буде доступне у Webex Calling у квітні 2021 року.

22 лютого 2021 р.

Домени і URL тепер перелічено в окремій таблиці.

Таблицю IP-адрес і портів налаштовано для групування IP-адрес для тих самих служб.

Додавання стовпця «Примітки» до таблиці «IP-адреси та порти», що допомагає зрозуміти вимоги.

Переміщення наступних IP-адрес до спрощених діапазонів для конфігурації пристроїв та керування прошивкою (пристрої Cisco):

activate.cisco.com

  • 72.163.10.125 -> 72.163.10.96/27

  • 173.37.149.125 -> 173.37.149.96/27

webapps.cisco.com

  • 173.37.146.134 -> 173.37.146.128/25

  • 72.163.10.134 -> 72.163.10.128/25

Додавання наступних IP-адрес для конфігурації програми, оскільки клієнт Cisco Webex вказує на новіший DNS SRV в Австралії у березні 2021 року.

  • 199.59.64.237

  • 199.59.67.237

21 січня 2021 р.

Ми додали такі IP-адреси до конфігурації пристроїв та керування прошивкою (пристрої Cisco):

  • 3.134.166.179

  • 50.16.236.139

  • 54.145.130.71

  • 72.163.10.125

  • 72.163.24.0/23

  • 173.37.26.0/23

  • 173.37.146.134

Ми видалили такі IP-адреси з конфігурації пристроїв та керування прошивкою (пристрої Cisco):

  • 35.172.26.181

  • 52.86.172.220

  • 52.203.31.41

Ми додали такі IP-адреси до конфігурації програми:

  • 62.109.192.0/19

  • 64.68.96.0/19

  • 207.182.160.0/19

  • 150.253.128.0/17

Ми видалили такі IP-адреси з конфігурації програми:

  • 64.68.99.6

  • 64.68.100.6

Ми видалили такі номери портів із конфігурації програми:

  • 1081, 2208, 5222, 5280-5281, 52644-52645

Ми додали такі домени до конфігурації програми:

  • idbroker-b-us.webex.com

  • idbroker-eu.webex.com

  • ty6-wxt-jp.bcld.webex.com

  • os1-wxt-jp.bcld.webex.com

23 грудня 2020 р.

До довідкових зображень портів додано нові IP-адреси конфігурації програм.

22 грудня 2020 р.

В рядок «Конфігурація програми» в таблицях додано наступні IP-адреси: 135.84.171.154 і 135.84.172.154.

Приховано схеми мережі, доки ці IP-адреси не будуть додані.

11 грудня 2020 р.

Оновлено конфігурацію пристрою і систему керування мікропрограмним забезпеченням (пристрої Cisco), а також рядки конфігурації програми для підтримуваних канадських доменів.

16 жовтня 2020 р.

Оновлено сигнальні й мультимедійні записи з використанням таких IP-адрес:

  • 139.177.64.0/24

  • 139.177.65.0/24

  • 139.177.66.0/24

  • 139.177.67.0/24

  • 139.177.68.0/24

  • 139.177.69.0/24

  • 139.177.70.0/24

  • 139.177.71.0/24

  • 139.177.72.0/24

  • 139.177.73.0/24

23 вересня 2020 р.

У CScan замінено 199.59.64.156 на 199.59.64.197.

14 серпня 2020 р.

Додано додаткові IP-адреси для підтримки впровадження центрів обробки даних у Канаді:

Передавання сигналів виклику до Webex Calling (TLS SIP): 135.84.173.0/25, 135.84.174.0/25, 199.19.19.197.0/24, 199.19.199.0/24

12 серпня 2020 р.

Додано додаткові IP-адреси для підтримки впровадження центрів обробки даних у Канаді:

  • Передавання мультимедіа викликів до Webex Calling (SRTP): 135.84.173.0/25, 135.84.174.0/25, 199.19.19.197.0/24, 199.19.199.0/24

  • Сигналізація викликів до кінцевих точок з публічною адресою (SIP) TLS)—135.84.173.0/25,135.84.174.0/25, 199.19.197.0/24, 199.19.199.0/24.

  • Конфігурація пристрою і керування мікропрограмним забезпеченням (пристрої Cisco): 135.84.173.155, 135.84.174.155

  • Синхронізація часу пристрою: 135.84.173.152, 135.84.174.152

  • Конфігурація програми: 135.84.173.154, 135.84.174.154

22 липня 2020 р.

Додано наступну IP-адресу для підтримки впровадження центрів обробки даних у Канаді: 135.84.173.146

9 червня 2020 р.

До запису CScan внесено наведені нижче зміни.

  • Виправлено одну з IP-адрес — змінено 199.59.67.156 на 199.59.64.156.

  • Для нових функцій потрібні нові порти та UDP — 19560-19760.

11 березня 2020 р.

Ми додали такі доменні та IP-адреси до конфігурації програми:

  • jp.bcld.webex.com—135.84.169.150

  • client-jp.bcld.webex.com

  • idbroker.webex.com—64.68.99.6, 64.68.100.6

У розділі конфігурації пристрою і керування мікропрограмним забезпеченням оновлено наступні домени (додано додаткові IP-адреси):

  • cisco.webexcalling.eu—85.119.56.198, 85.119.57.198

  • webapps.cisco.com—72.163.10.134

  • activation.webex.com—35.172.26.181, 52.86.172.220

  • cloudupgrader.webex.com—3.130.87.169, 3.20.185.219

27 лютого 2020 р.

У розділі конфігурації пристрою і керування мікропрограмним забезпеченням додано наступний домен і порти:

cloudupgrader.webex.com—443, 6970