Webex 服务的网络要求

Webex 服务的网络要求

文档修订记录
 
本文面向网络管理员,尤其是希望在其组织中使用 Webex 消息传递和会议服务的防火墙和代理安全管理员。 它将帮助您配置网络以支持基于 HTTPS 的 Webex 应用程序和 Webex Room 设备所使用的 Webex 服务,以及通过 SIP 连接到 Webex Meetings 服务的 Cisco IP 电话、Cisco 视频设备和第三方设备。
本文档着重介绍了使用 HTTPS 信令接入 Webex 云服务的 Webex 云注册产品的网络要求,同时也描述了使用 SIP 信令加入 Webex Meetings 的产品的网络要求。 以下将简要介绍这些差异:

云注册 Webex 应用程序和设备

所有云注册 Webex 应用程序和设备都使用 HTTPS 与 Webex 消息和会议服务进行通信:

  • 云注册 Webex Room 设备会针对所有 Webex 服务使用 HTTPS 信令。
  • 当设备的 Webex Edge 功能被禁用时,通过 SIP 注册的本地设备也可使用 HTTPS 信令。 该功能允许通过 Webex Control Hub 管理 Webex 设备,并使用 HTTPS 信令加入 Webex Meetings(详情请参阅 https://help.webex.com/en-us/cy2l2z/Webex-Edge-for-Devices).
  • Webex 应用程序将 HTTPS 信令用于 Webex 消息传递和会议服务。 Webex 应用程序还可使用 SIP 协议加入 Webex 会议,但这取决于用户通过其 SIP 地址被呼叫,或者选择拨打 SIP URL 加入会议(而不是使用 Webex 应用程序本机提供的会议功能)。
使用 SIP 的 Webex 云和本地呼叫控制注册设备
Webex Calling 服务和本地呼叫控制产品(例如 Cisco Unified CM)将 SIP 用作其呼叫控制协议。 Webex Room 设备、Cisco IP 电话和第三方产品可以使用 SIP 加入 Webex Meetings。 基于 SIP 的本地呼叫控制产品(例如 Cisco Unified CM)通过边界控制器(例如 Expressway C & E 或 CUBE SBC)建立 SIP 会话,以实现与 Webex 云的通话。

有关 Webex Calling 服务的具体网络要求,请参阅: https://help.webex.com/en-us/b2exve/Port-Reference-Information-for-Cisco-Webex-Calling
 

所有云注册 Webex 应用程序和 Webex Room 设备仅发起出站连接。 Cisco Webex Cloud 永远不会发起到云注册 Webex 应用程序和 Webex Room 设备的出站连接,但是可以向 SIP 设备发起出站呼叫。 用于会议和消息传递的 Webex 服务主要托管在分布于全球各地的 Cisco 数据中心(如用于身份服务、会议服务和媒体服务器的 Webex 数据中心)或 Amazon AWS 平台上的 Cisco 虚拟私有云 (VPC)(如 Webex 消息传递微服务、消息传递存储服务和媒体服务器)。 所有传输中的数据和静态数据均被加密。

流量的类型:

Webex 应用程序和 Webex Room 设备建立到 Webex 云的信令和媒体连接。

信令流量
Webex 应用程序和 Webex 设备对信令使用 HTTPS 和 WSS(安全 websocket)。 信令仅发起出站连接,并使用 URL建立与 Webex 服务的会话。

使用了强加密套件的 TLS 为信令流量提供保护。 Webex 服务更倾向于使用 ECDHE 进行密钥协商的 TLS 加密套件、256 位对称加密密码密钥和 SHA-2 哈希函数,例如:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Webex 服务仅支持 TLS 1.2 版。
 
除了实时媒体之外的所有 Webex 功能都通过使用 TLS 的信令通道调用。
 
使用 URL 建立与 Webex 服务的信令连接
如果您部署了代理或防火墙以过滤离开企业网络的流量,您可以在针对 Webex 服务需要访问的域和 URL 部分查看访问 Webex 服务所需的目标 URL 列表。 不支持按 IP 地址过滤 Webex 信令流量,因为 Webex 使用的 IP 地址是动态的,随时可能更改。

媒体流量
Webex 应用程序和 Webex Room 设备使用以下加密密码来加密音频、视频和内容共享流的实时媒体:

  • AES-256-GCM 密码
  • AES-CM-128-HMAC-SHA1-80 密码

AES-256-GCM 是一种使用 256 位加密密钥的新式加密密码。 AES-256-GCM 由 Webex 应用程序和 Webex Room 设备*用于加密会议内容。     * Webex 应用程序使用 AES-256-GCM 或 AES-128-GCM 加密所有 Webex Meeting 类型的内容。 Webex Room 设备使用 AES-256-GCM 通过 Webex Meetings 的“零信任安全功能”(日历年 2021 年第 1 季度开始推出功能)对 S-Frame 媒体负载进行端到端加密。有关更多详细信息,请参阅 Webex 零信任安全技术文件

AES-CM-128-HMAC-SHA1 是一个成熟密码,经验证可在供应商之间实现互操作性。 AES-CM-128-HMAC-SHA1 用于将媒体加密到使用 SRTP 或采用 SIP 信令的 SRTP(例如 Cisco 和第三方 SIP 设备)的 Webex 服务。

UDP - Cisco 推荐的媒体传输协议
符合 RFC 3550 RTP - 实时应用程序的传输协议,Cisco 希望并强烈建议将 UDP 作为所有 Webex 语音和视频媒体流的传输协议。
 
将 TCP 作为媒体传输协议的缺点
Webex 应用程序和 Webex Room 设备还支持将 TCP 作为回退媒体传输协议。 但是,Cisco 不建议将 TCP 作为语音和视频媒体流的传输协议。 这是因为 TCP 是面向连接的,旨在可靠地将排序正确的数据传递给上层协议。 在使用 TCP 时,发送方将重新传输丢失的数据包,直到它们被确认,而接收方会缓冲数据包流,直到丢失的数据包被恢复。 对于媒体流而言,这种行为表现为延迟/抖动增加,而这又会影响通话参加者所体验的媒体质量。
 
由于通过 TLS 传输的媒体可能会由于其面向连接的传输协议和潜在的代理服务器瓶颈而降低媒体质量,因此 Cisco 强烈建议不要使用 TLS 在生产环境中传输媒体。
 
Webex 媒体使用出站至 Webex 云的对称的内部发起 5 元组(源 IP 地址、目标 IP 地址、源端口、目标端口、协议)流来双向流动。
 
Webex 应用程序和 Webex Room 设备还使用 STUN (RFC 5389) 进行防火墙穿越和媒体节点可达性测试。 有关更多详细信息,请参阅 Webex 防火墙技术文件
 
Webex – 媒体流量的目标 IP 地址范围
要访问处理离开企业网络的媒体流量的 Webex 媒体服务器,您必须允许托管这些媒体服务的 IP 子网可通过企业防火墙进行访问。 您可以在 Webex 媒体服务的 IP 子网部分查看发送到 Webex 媒体节点的媒体流量目标 IP 地址范围。

通过代理和防火墙的 Webex 流量

大多数客户部署互联网防火墙或互联网代理和防火墙,以限制和控制离开和进入其网络的 HTTP 流量。 按照下面的防火墙和代理指南,启用从您的网络访问 Webex 服务。 如果您仅使用防火墙,请注意,不支持使用 IP 地址过滤 Webex 信令流量,因为 Webex 信令使用的 IP 地址是动态的,随时可能更改。 如果您的防火墙有 URL 过滤功能,请将防火墙配置为允许访问“针对 Webex 服务需要访问的域和 URL”中所列的目标 URL。

下表列明了为保障云注册 Webex 应用程序和设备与 Webex 云信令和媒体服务之间正常通信,您需要在防火墙中打开的的端口和协议。

列表中的 Webex 应用程序、设备和服务包括:
Webex 应用程序、Webex Room 设备、Video Mesh 节点、混合数据安全节点、目录连接器、日历连接器、管理连接器和可服务性连接器。
有关基于 SIP 的设备和 Webex 服务的端口和协议指南,请参阅“基于 SIP 的 Webex 服务的网络要求”部分。

Webex 服务 - 端口号和协议

目标端口

协议

描述

使用此规则的设备

443TLSWebex HTTPS 信令。
向 Webex 服务建立会话是基于定义的 URL,而不是 IP 地址。

如果您使用的是代理服务器,或是您的防火墙支持域名解析,请参阅“针对 Webex 服务需要访问的域和 URL”部分,以允许信令访问 Webex 服务。
所有
444TLSVideo Mesh 节点的安全信令,用于建立到 Webex 云的级联媒体连接视频网格节点
123 (1)UDP网络时间协议 (NTP)所有
53 (1)UDP
TCP
域名系统 (DNS)

用于 DNS 查找,以发现 Webex 云中的服务的 IP 地址。
大部分 DNS 查询通过 UDP 进行;但是,DNS 查询也可以通过 TCP 进行。

 
所有
5004 和 9000*UDP 上的 SRTPWebex 应用程序和 Webex Room 设备上的加密音频、视频和内容共享

有关目标 IP 子网的列表,请参阅“Webex 媒体服务的 IP 子网”部分。

*Webex 应用程序使用 UDP 端口 9000 连接到 Webex Meetings 媒体服务
Webex 应用程序*

Webex Room 设备

视频网格节点
5004TCP 上的 SRTP用于 Webex 应用程序和 Webex Room 设备上的加密内容共享

TCP 还可在无法使用 UDP 时用作加密的音频和视频的回退传输协议。

有关目标 IP 子网的列表,请参阅“Webex 媒体服务的 IP 子网”部分。
Webex 应用程序

Webex Room 设备

视频网格节点
33434 (2)UDP 上的 SRTP

TCP 上的 SRTP
可选

如果端口 5004 被防火墙阻止,端口 33434 将用于加密媒体。

请注意,将建立端口 33434 上的 TCP 套接字,但仅当连接在端口 5004 上的 TCP 和 UDP 以及端口 33434 上的 UDP 上失败时使用。 (2)

有关目标 IP 子网的列表,请参阅“Webex 媒体服务的 IP 子网”部分。
Webex 应用程序

Webex Room 设备
443 (2)TLS 上的 SRTP在无法使用 UDP 和 TCP 时用作加密的音频、视频和内容共享的回退传输协议。

在生产环境中不建议使用 TLS 上的媒体

有关目标 IP 子网的列表,请参阅“Webex 媒体服务的 IP 子网”部分。
Webex 应用程序 (3)

Webex Room 设备
(1) 如果您在企业网络中使用 NTP 和 DNS 服务,则无需通过防火墙打开端口 53 和 123。
(2) 在端口 33434 上通过 UDP/TCP 协议为加密媒体流量打开防火墙的建议已不再适用。 但是,当端口 5004 关闭时,Webex 仍会探测并使用该端口。
(3) Webex 基于 Web 的应用程序和 Webex SDK 不支持通过 TLS 传输的媒体。
 
Cisco 支持在安全的 Cisco、Amazon Web Services (AWS) 和 Microsoft Azure 数据中心中使用 Webex 媒体服务。 Amazon 和 Microsoft 已保留其 IP 子网供 Cisco 单独使用,而位于这些子网中的媒体服务在 AWS 虚拟专用云和 Microsoft Azure 虚拟网络实例中是受保护的。 Microsoft Azure 云中的虚拟网络用于托管 Microsoft Cloud Video Interop (CVI) 服务的服务器。

请对防火墙进行配置,以允许来自 Webex 应用程序和设备的媒体流访问此类目标 Webex IP 子网和传输协议端口。 UDP 是 Cisco 首选的媒体传输协议,我们强烈建议仅使用 UDP 传输媒体。 Webex 应用程序和设备还支持 TCP 和 TLS 作为媒体的传输协议,但在生产环境中不建议使用 TCP 和 TLS,因为这些协议的面向连接的性质可能会严重地影响有损网络上的媒体质量。

请注意: 以下为 Webex 媒体服务的 IP 子网。 不支持按 IP 地址过滤 Webex 信令流量,因为 Webex 使用的 IP 地址是动态的,随时可能更改。 在转发到防火墙之前,可以通过企业代理服务器中的 URL/域过滤发送到 Webex 服务的 HTTP 信令。
 

媒体服务的 IP 子网

3.22.157.0/2618.230.160.0/2566.163.32.0/19
3.25.56.0/2520.50.235.0/24*69.26.160.0/19
3.101.70.0/2520.53.87.0/24*114.29.192.0/19
3.101.71.0/2420.57.87.0/24*150.253.128.0/17
3.101.77.128/2820.68.154.0/24*170.72.0.0/16
3.235.73.128/2520.76.127.0/24*170.133.128.0/18
3.235.80.0/2320.108.99.0/24*173.39.224.0/19
3.235.122.0/2423.89.0.0/16173.243.0.0/20
3.235.123.0/2540.119.234.0/24*207.182.160.0/19
18.132.77.0/2544.234.52.192/26209.197.192.0/19
18.141.157.0/2552.232.210.0/24*210.4.192.0/20
18.181.18.0/2562.109.192.0/18216.151.128.0/19
18.181.178.128/2564.68.96.0/19 
18.181.204.0/2566.114.160.0/20 
* Azure 数据中心 - 用于托管 Microsoft Teams 视频集成(即 Microsoft Cloud Video Interop)服务

Webex 应用程序和 Webex Room 设备执行测试,以检测组织中可用的每个媒体集群中一部分节点的可达性以及往返时间。 媒体节点可达性通过 UDP、TCP 和 TLS 传输协议进行测试,在启动、网络更改时发生,并在应用程序或设备运行时定期发生。 这些测试的结果由 Webex 应用程序/Webex 设备存储,并在加入会议或呼叫之前发送到 Webex 云。 根据这些可达性测试结果,Webex 云会基于传输协议(首选 UDP)、往返时间和媒体服务器资源的可用性等因素进行判断,为 Webex 应用程序/设备的呼叫分配最佳媒体服务器。

如果您将防火墙配置为仅允许流量访问以上 IP 子网中的一个,您仍可能会在您的网络中看到可达性测试流量尝试访问被阻止的 IP 子网中媒体节点的情况。 被防火墙阻止的 IP 子网中的媒体节点将不再用于 Webex 应用程序和 Webex Room。

Cisco 不支持、也不建议基于特定地理区域或云服务提供商对 IP 地址子网进行过滤。 按地区过滤可能导致会议体验严重下降,最严重的情况包括完全无法加入会议。

Webex 信令流量和企业代理配置

许多组织使用代理服务器来检查和控制离开其网络的 HTTP 流量。 代理可用于执行若干安全功能,例如允许或阻止访问特定 URL、用户验证、IP 地址/域/主机名/URI 信誉查找以及流量解密和检查。 代理服务器通常也用作可以将基于 HTTP 的发往互联网的流量转发到企业防火墙的唯一路径,从而允许防火墙将出站互联网流量限制为仅源自这些代理服务器的流量。 代理服务器必须配置为允许 Webex 信令流量访问下文中列出的域/URL:

Cisco Webex 服务 URL

域/URL

描述

使用这些域/URL 的 Webex 应用程序和设备

*.wbx2.com
*.ciscospark.com
Webex 微服务。
例如:
消息传递服务
文件管理服务
密钥管理服务
软件升级服务
档案图片服务
白板服务
近接服务
在线状态服务
注册服务
日历服务
搜索服务
所有
*.webex.com
*.cisco.com
Webex Meetings 服务
身份设置
身份存储
验证
OAuth 服务
设备载入
云连接 UC
所有
*.webexcontent.com (1)Webex 消息传递服务 - 常规文件存储,包括:

用户文件、
转码文件、
图像、
屏幕截图、
白板内容、
客户端和设备日志、
档案图片、
品牌徽标、
日志文件
批量 CSV 导出文件和导入文件 (Control Hub)
所有

注:
在 2019 年 10 月,使用 webexcontent.com 的文件存储空间替换了 clouddrive.com

您的组织可能仍在使用 clouddrive.com 来存储较旧的文件 - 要了解更多信息,请参阅 (1)

其他 Webex 相关服务 - Cisco 拥有的域

URL

描述

使用这些域/URL 的 Webex 应用程序和设备

*.accompany.comPeople Insights 集成Webex 应用程序

其他 Webex 相关服务 - 第三方域

URL

描述

使用这些域/URL 的 Webex 应用程序和设备

*.sparkpostmail1.com
*.sparkpostmail.com
时事通讯、注册信息、公告的电子邮件服务所有
*.giphy.com允许用户共享 GIF 图像。 此功能缺省为开启状态,但可在 Control Hub 中禁用Webex 应用程序
safebrowsing.googleapis.com用于在消息流中展开 URL 之前,对其执行安全检查。 此功能缺省为开启状态,但可在 Control Hub 中禁用Webex 应用程序

*.walkme.com

s3.walkmeusercontent.com

Webex 用户指南客户端。 为新用户提供加入和使用教程

有关更多信息,请参阅 https://support.walkme.com/knowledge-base/access-requirements-for-walkme/
Webex 基于 Web 的应用程序

speech.googleapis.com
texttospeech.googleapis.com

speech-services-manager-a.wbx2.com

Google Speech 服务。 Webex Assistant 用它来处理语音识别和文字到语音转换。 缺省为禁用状态,但可通过 Control Hub 进行切换选择。 也可针对每个设备禁用助理。Webex Room Kit 和 Webex Room 设备

支持 Webex Assistant 的 Webex Room 设备的详细信息在此处记录:
https://help.webex.com/hzd1aj/Enable-Cisco-Webex-Assistant
msftncsi.com/ncsi.txt

captive.apple.com/hotspot-detect.html
第三方互联网连接检查,以确定存在网络连接但未连接互联网的情况。

Webex 应用程序可自行检查其互联网连接,但也可使用这些第三方 URL 作为备用手段。
Webex 应用程序
*.appdynamics.com
*.eum-appdynamics.com
性能跟踪、错误和崩溃捕捉、会话指标 (3)Webex 应用程序
Webex Web 应用程序
*.amplitude.comA/B 测试和指标 (3)Webex Web 应用程序
Webex Android 应用程序

 
*.vbrickrev.com与会者使用该域查看 Webex Events WebcastsWebex Events
*.slido.com
*.sli.do
*.data.logentries.com
用于 Slido PPT 加载项,允许 Slido 网页创建会议前投票/测验所有
*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org
用于从证书颁发机构请求证书吊销列表

- 注意:Webex 支持通过 CRL 和 OCSP Stapling 来判断证书的吊销状态。 

只要通过 OCSP Stapling 确认了证书状态,Webex 应用程序和设备无需再联系证书颁发中心重复确认。
所有
被弃用的核心 Webex 服务 (2)
URL描述使用这些域/URL 的 Webex 应用程序和设备
*.clouddrive.comWebex 消息传递文件存储空间

在 2019 年 10 月,使用 webexcontent.com 的文件存储空间替换了 clouddrive.com

您的组织可能仍在使用 clouddrive.com 存储较旧的文件 - 要了解更多信息,请参阅 (1)
所有
*.ciscosparkcontent.com日志文件上传
日志文件存储服务现在使用 *.webexcontent.com 域
Webex 应用程序

 
*.rackcdn.com*.clouddrive.com 域的内容分发网络 (CDN)所有

(1) 自 2019 年 10 月起,用户文件将上传并保存在 Cisco 管理的 webexcontent.com 域中。

对于 2019 年 10 月之前上传的文件,在其到达组织的保留期限前(到期后将被删除),将继续存放在 clouddrive.com 域中,并可通过 Webex 应用程序进行访问。 在此期间,您可能需要同时访问 webexcontent.com 域(查看新文件)和 clouddrive.com 域(查看旧文件)。

如您坚持只使用 webexcontent.com 域,则:  在您所属的 Webex 消息传递空间中将无法查看和下载(由您或相关组织)上传并存储在 clouddrive.com 域中的旧文件。

如您坚持只使用 clouddrive.com 域,则:  您无法再上传文件,并且在您所参与的另一组织的空间中将无法检索到该组织上传并存储在 webexcontent.com 域中的新文件。

(2) 新客户(2019 年 10 月及以后)可以选择略过这些域,因为 Webex 已不再使用它们存储文件。 但是,请注意,如果您所参与空间的所属组织使用 clouddrive.com 域来存储文件,而您又需要访问这些文件(于 2019 年 10 月之前上传),则您必须能够访问 clouddrive.com 域

。(3) Webex 借助第三方机构收集诊断和故障排除数据以及崩溃和使用情况指标。 Webex 隐私数据手册中介绍了可能发送给这些第三方网站的数据。 有关详细信息,请参阅:

Webex 服务使用的内容分发网络
Webex 使用内容分发网络 (CDN) 服务高效地将静态文件和内容传送至 Webex 应用程序和设备。 如果您使用代理服务器控制对 Webex 服务的访问,则无需将 CDN 域添加到 Webex 服务允许的域列表中(因为 DNS 解析为 CDN CNAME 的操作在初始 URL 过滤后由您的代理执行)。 如果您未使用代理服务器(例如,您只是使用防火墙来过滤 URL),DNS 解析则由 Webex 应用程序/设备的操作系统执行,并且您需要将以下 CDN URL 添加到域以允许防火墙中的列表:
*.cloudfront.net
*.akamaiedge.net
*.akamai.net
*.fastly.net
将代理配置为允许访问下表中 Webex 混合服务的 URL。 可通过将代理配置为仅允许混合服务节点的源 IP 地址访问这些 URL,以限制对这些外部域的访问。
 

Cisco Webex 混合服务 URL

URL

描述

用于:

*.docker.com (1)
*.docker.io (1)
混合服务容器视频网格节点
混合数据安全节点
*s3.amazonaws.com (1)日志文件上传视频网格节点
混合数据安全节点
*.cloudconnector.webex.com用户同步  混合服务目录连接器

(1) 我们计划逐步停止对混合服务容器使用 *.docker.com 和 *.docker.io,并最终将其替换为 *.amazonaws.com。

注: 如果您使用 Cisco Web 安全设备 (WSA) 代理并希望自动更新 Webex 服务使用的 URL,请参阅 WSA Webex 服务配置文档,以获取有关如何在 AsyncOS for Cisco Web Security 中部署 Webex 外部源的指南。

关于包含 Webex 服务 URI 列表的 CSV 文件,请参阅: Webex 服务 CSV 文件


代理服务器必须配置为允许 Webex 信令流量访问上一部分中列出的域/URL。  对与 Webex 服务相关的其他代理功能的支持如下:

代理验证支持

代理可以用作访问控制设备,阻止对外部资源的访问,直到用户/设备向代理提供有效的访问权限凭证。 代理支持的验证方法有很多,包括基本验证、摘要式验证、(基于 Windows)NTLM、Kerberos 和 Negotiate(带 NTLM 回退的 Kerberos)。

对于下表中“无验证”的情况,设备可配置代理地址,但不支持验证。 使用代理验证时,必须配置有效凭证并将其存储在 Webex 或 Webex Room 设备的操作系统中。

对于 Webex Room 设备和 Webex 应用程序,您可以通过平台操作系统或设备用户界面手动配置代理地址,也可以通过特定机制(如

网络代理自发现协议 (WPAD) 和/或代理自动配置 (PAC) 文件等)自动识别代理地址:

产品

验证类型

代理配置

Mac 版 Webex不验证、基本、NTLM (1)手动、WPAD、PAC
Windows 版 Webex不验证、基本、NTLM (2)、协商手动、WPAD、PAC、GPO
iOS 版 Webex不验证、基本、摘要、NTLM手动、WPAD、PAC
Android 版 Webex不验证、基本、摘要、NTLM手动、PAC
Webex Web 应用程序不验证、基本、摘要、NTLM、协商通过 OS 提供支持
Webex Room 设备不验证、基本、摘要WPAD、PAC 或手动
Webex 视频网格节点不验证、基本、摘要、NTLM手动
混合数据安全节点不验证、基本、摘要手动
混合服务主机管理连接器不验证、基本手动配置 Expressway C: 应用程序 > 混合服务 > 连接器代理
混合服务: Directory Connector不验证、基本、NTLM通过 Windows OS 提供支持
混合服务 Expressway C: 日历连接器不验证、基本、NTLM手动配置 Expressway C:
应用程序 > 混合服务 > 连接器代理:用户名密码
Expressway C: 应用程序 > 混合服务 > 日历连接器 > Microsoft Exchange > 基本和/或 NTLM
混合服务 Expressway C: 呼叫连接器不验证、基本手动配置 Expressway C:
应用程序 > 混合服务 > 连接器代理

(1): Mac NTLM 验证 - 计算机无需登录到域,会提示用户输入密码
(2): Windows NTLM 验证 - 仅在计算机登录到域时受支持

Windows 操作系统的“关于代理的指南”设置
Microsoft Windows 支持两种允许代理配置的 HTTP 流量网络库(WinINet 和 WinHTTP)。 WinInet 专为单用户桌面客户端应用程序设计;WinHTTP 主要针对基于
服务器的多用户应用程序设计。 WinINet 是 WinHTTP 的超集;在两者之间选择时,您应使用 WinINet 进行代理配置设置。 有关详细信息,请参阅 https://docs.microsoft.com/en-us/windows/win32/wininet/wininet-vs-winhttp
 

代理检查和证书置顶

Webex 应用程序和 Webex 设备验证它们与之建立 TLS 会话的服务器的证书。 证书检查,例如,证书颁发者和数字签名需要验证截至根证书的证书链。 应用程序或设备利用一组安装在操作系统信任库中的可信根 CA 证书来执行此类验证检查。

如果您部署了用于拦截、解密和检查 Webex 流量的 TLS 检查代理,请确保代理提供的证书(用于代替 Webex 服务证书)由证书颁发中心所签署,其根证书应安装在 Webex 应用程序或 Webex 设备的信任库内。 对于 Webex 应用程序,用于签署代理使用的证书的 CA 证书需要安装到设备的操作系统中。 对于 Webex Room 设备,请通过 TAC 提交服务请求,将此 CA 证书安装到 RoomOS 软件中。

下表显示了 Webex 应用程序和 Webex 设备上代理服务器对 TLS 检查的支持

产品

支持自定义受信任 CA 以进行 TLS 检查

Webex 应用程序
(Windows、Mac、iOS、Android、Web)
支持*
 
Webex Room 设备支持
Cisco Webex 视频网支持
混合数据安全服务支持
混合服务 - 目录、日历、管理连接器不支持

"* 注 - Webex 应用程序不支持代理服务器对 Webex Meetings 媒体服务的 TLS 会话进行解密和检查。 如果您希望检查发送到 webex.com 域中的服务的流量,则必须对发送到 *mcs*.webex.com、*cb*.webex.com 和 *mcc*.webex.com 的流量创建 TLS 检查例外。
注 - Webex 应用程序不支持针对基于 TLS 的媒体连接的 SNI 扩展。 如果代理服务器必须使用 SNI 扩展,Webex 音频和视频服务则会连接失败。

产品

支持 802.1X

说明

Webex 应用程序
(Windows、Mac、iOS、Android、Web)
支持通过 OS 提供支持
Webex Room 设备支持EAP-FAST  
EAP-MD5
EAP-PEAP
EAP-TLS
EAP-TTLS
通过 GUI 或 Touch 10 配置 802.1X
通过 HTTP 接口上传证书
视频网格节点不支持使用 MAC 地址旁路
混合数据安全服务不支持使用 MAC 地址旁路
混合服务 - 目录、日历、管理连接器不支持使用 MAC 地址旁路

Webex 云支持将 SIP 用作控制协议的 Webex Meetings 入站和出站呼叫,以及从/到云注册 Webex 应用程序和 Webex Room 设备的直接(一对一)呼叫。

针对 Webex Meetings 的 SIP 呼叫
Webex Meetings 允许拥有 SIP 应用程序和设备的与会者通过以下任一方式加入会议:

  • 呼叫会议的 SIP URI(例如,meetingnumber@webex.com),或者
  • Webex 云呼叫参加者指定的 SIP URI(例如,my-device@customer.com)


SIP 应用程序/设备与云之间的呼叫注册了 Webex 应用程序/Webex Room 设备
Webex 云允许 SIP 应用程序和设备的用户:

  • 被云注册 Webex 应用程序和 Webex Room 设备呼叫
  • 呼叫云注册 Webex 应用程序和 Webex Room 设备

在上述两种情况下,SIP 应用程序和设备都需要建立与 Webex 云之间的会话。 SIP 应用程序或设备将注册到基于 SIP 的呼叫控制应用程序(例如 Unified CM),该应用程序通常与允许入站和出站呼叫(通过互联网)到 Webex 云的 Expressway C 和 E 建立 SIP 中继连接。

SIP 应用程序和设备包括:

  • 使用 SIP 注册到 Unified CM 的 Webex Room 设备
  • 使用 SIP 注册到 Unified CM 或 Webex Calling 服务的 Cisco IP 电话
  • 使用第三方 SIP 呼叫控制应用程序的第三方 SIP 应用程序或设备

下表描述了访问 Webex SIP 服务所需的端口和协议:

Webex SIP 服务的端口和协议
源端口目标端口协议描述
Expressway 临时端口      Webex 云 5060 - 5070TCP/TLS/MTLS 上的 SIP 从 Expressway E 到 Webex 云 的 SIP 信令

传输协议: TCP/TLS/MTLS
Webex 云临时端口    

 
Expressway 5060 - 5070    TCP/TLS/MTLS 上的 SIP    从 Webex 云到 Expressway E 的 SIP 信令

传输协议: TCP/TLS/MTLS
Expressway
36000 - 59999    
Webex 云
49152 - 59999    

 
UDP 上的 RTP/SRTP
    
从 Expressway E 到 Webex 云的未加密/加密媒体

媒体传输协议: UDP
Webex Cloud
49152 - 59999  
 Expressway
36000 - 59999    
UDP 上的 RTP/SRTP    从 Webex 云到 Expressway E 的未加密/加密媒体

媒体传输协议: UDP

Expressway E 和 Webex 云之间的 SIP 连接支持使用 TCP 的未加密信令,以及使用 TLS 或 MTLS 的加密信令。 加密 SIP 信令为首选项,该选项允许在连接前对 Webex 云和 Expressway E 之间交换的证书进行验证。

Expressway 通常用于启用到 Webex 云的 SIP 呼叫以及到其他组织的 B2B SIP 呼叫。 配置您的防火墙以允许:

  • 来自 Expressway E 节点的所有出站 SIP 信令流量
  • 到 Expressway E 节点的所有入站 SIP 信令流量

如果您希望限制与 Webex 云之间的入站和出站 SIP 信令流量及相关媒体流量。 配置防火墙,允许流量访问 Webex 媒体服务的 IP 子网(请参阅“Webex 媒体服务的 IP 子网”部分)和下列 AWS 区域: us-east-1、us-east-2、eu-central-1、us-gov-west-2、us-west-2。 以下 AWS 区域的 IP 地址范围可在此处找到: https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html 

* 该网页不会即时更新,因为 AWS 会定期更改其子网中的 IP 地址范围。 要动态跟踪 AWS IP 地址范围的变化,Amazon 建议订阅以下通知服务: https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html#subscribe-notifications

基于 SIP 的 Webex 服务的媒体对 Webex 媒体使用相同的目标 IP 子网(在此处列出)

协议端口号码方向访问类型注释
TCP    5061, 5062    入站    SIP 信令    用于 Webex Edge 音频的入站 SIP 信令
TCP    5061, 5065    出站    SIP 信令    用于 Webex Edge 音频的出站 SIP 信令
TCP/UDP    临时端口
8000 - 59999    
入站    媒体端口    在企业防火墙上,需要打开针孔才能将流量传入 Expressway,并且端口范围介于 8000 - 59999 之间

 

Cisco Webex 视频网

Cisco Webex 视频网在您的网络上提供本地媒体服务。 媒体并不会全部传到 Webex Cloud,而是可以留在您的网络上,从而减少互联网带宽用量,并提高媒体质量。 有关详细信息,请参阅 Cisco Webex Video Mesh 部署指南

混合日历服务

混合日历服务将 Microsoft Exchange、Office 365 或 Google Calendar 连接到 Webex,从而简化安排和加入会议的操作,尤其是在移动时。

详情请参阅: Webex 混合日历服务部署指南

混合目录服务

Cisco 目录连接器是一个用于向 Webex 云进行身份同步的本地应用程序。 它还提供了一个简单的管理流程,可以自动安全地将企业目录联系人扩展到云并使其保持同步,从而保证准确性和一致性。

详情请参阅: Cisco 目录连接器部署指南

Webex 混合服务的首选体系结构

Cisco Webex 混合服务的首选架构描述了整体混合体系结构、其组件和总体设计最佳实践。 请参阅: Webex 混合服务的首选体系结构

Webex 呼叫 - 网络要求

如果您还要随 Webex Meetings 和消息传递服务部署 Webex Calling,可在此处找到 Webex Calling 服务的网络要求: https://help.webex.com/b2exve/Port-Reference-Information-for-Cisco-Webex-Calling
 

修订日期

新增和更改的信息

10/27/2021在域表格中添加了 *.walkme.com 和 s3.walkmeusercontent.com。
10/26/2021为 Windows 操作系统添加了“关于代理的指南”设置
10/20/2021将 CDN URL 添加到防火墙中的域允许列表
10/19/2021Webex 应用程序使用 AES-256-GCM 或 AES-128-GCM 加密所有 Webex Meeting 类型的内容。
10/18/2021添加了新的 IP 子网(20.57.87.0/24*、20.76.127.0/24* 和 20.108.99.0/24*),它们用于托管 Microsoft Teams 视频集成(也称为 Microsoft Cloud Video Interop)服务以及我们为 Webex 服务使用的内容分发网络添加的域(*.cloudfront.net、*.akamaiedge.net、*.akamai.net 和 *.fastly.net)
10/11/2021更新了域和 URL 部分中的信任门户链接。
10/04/2021从域表格中删除了不再需要的 *.walkme.com 和 s3.walkmeusercontent.com。
07/30/2021更新了“代理功能”部分中的注释
07/13/2021更新了“代理功能”部分中的注释
07/02/2021将 *.s3.amazonaws.com 改为 *s3.amazonaws.com
06/30/2021更新了“Webex 混合服务的其他 URL”列表。
06/25/2021将 *.appdynamics.com 域添加到列表中
06/21/2021将 *.lencr.org 域添加到列表中。
06/17/2021更新了“Webex SIP 服务的端口和协议”表
06/14/2021更新了“Webex SIP 服务的端口和协议”表
05/27/2021更新了“Webex 混合服务的其他 URL”部分中的表格。
04/28/2021添加了用于 Slido PPT 加载项的域,允许 Slido 网页创建会议前投票/测验
04/27/2021添加了用于 Webex Edge 音频的 23.89.0.0/16 IP 范围
04/26/2021添加了 20.68.154.0/24*,因为它是 Azure 子网
04/21/2021更新了 Webex 混合服务的其他 URL 下的 Webex 服务 CSV 文件
04/19/2021添加了 20.53.87.0/24*,因为它是用于 VIMT/CVI 的 Azure DC
04/15/2021在 Webex Events Webcasts 中增加了 *.vbrickrev.com 域。
03/30/2021重大文档版式修订。
03/30/2021增加了 Webex 基于 web 应用程序和 Webex SDK 媒体支持的详细信息(不包括通过 TLS 传输的媒体)。
03/29/2021列明了 Webex Edge for Devices 功能并随附文档链接。
03/15/2021添加了域 *.identrust.com
02/19/2021为 FedRAMP 客户添加了 Webex 服务部分
01/27/2021*为云连接 UC 服务增加了 .cisco.com 域,以及由 * 指示的 Microsoft Teams 视频集成(即 Microsoft Cloud Video Interop)的 Webex Calling 载入 IP 子网
01/05/2021描述 Webex 应用程序会议和消息传递服务的网络要求的新文档
11/13/20从媒体表的 IP 子网中删除了 https://155.190.254.0/23 子网
10/7/2020从“Webex Teams 混合服务的其他 URL”中删除了 *.cloudfront.net 行
9/29/2020为 Webex Teams 媒体服务增加了新 IP 子网 (20.53.87.0/24)
9/29/2020Webex 设备重命名为 Webex Room 设备
9/29/2020*从表“Webex Teams 混合服务的其他 URL”中删除了 .core-os.net URL
9/7/2020更新了 AWS 区域链接
08/25/20简化了媒体的 Webex Teams IP 子网的表和文本
8/10/20增加了关于通过 Webex Edge Connect 测试媒体节点可达性以及 Cisco IP 子网使用情况的其他详细信息
7/31/20为 AWS 和 Azure 数据中心中的媒体服务增加了新的 IP 子网
7/31/20针对到 Webex Teams 云的 SIP 呼叫增加了新的 UDP 目标媒体端口
7/27/20增加 170.72.0.0/16 (CIDR) 或 170.72.0.0 - 170.72.255.255(网段)
5/5/20在第三方域表中增加了 sparkpostmail.com
4/22/20增加新的 IP 范围 150.253.128.0/17
03/13/20为 walkme.com 服务增加了新的 URL
增加了 Room OS 设备的 TLS 媒体传输
增加了新部分:混合呼叫 SIP 信令的网络要求
为 Webex Calling 网络要求文档增加了链接
12/11/19微小文本更改、更新 Webex Teams 应用程序和设备 - 端口号和协议表、更新 Webex Teams URL 表并重新设置其格式。 删除对管理连接器和呼叫连接器混合服务的 NTLM 代理验证支持
10/14/19增加了对协作室设备的 TLS 检查支持
9/16/2019增加了使用 TCP 作为传输协议的 DNS 系统的 TCP 支持要求。
增加了 URL *.walkme.com – 此服务为新用户提供加入和使用教程。
修正了 Web Assistant 所使用的服务 URL。
8/28/2019*增加了 .sparkpostmail1.com URL
时事通讯、注册信息、公告的电子邮件服务
8/20/2019增加了视频网格节点和混合数据安全服务的代理支持功能
8/15/2019用于 Webex Teams 服务的 Cisco 和 AWS 数据中心概述。
*为文件存储空间增加了 .webexcontent.com URL
注:针对文件存储空间已弃用 clouddrive.com
为指标和测试增加了 *.walkme.com URL
7/12/2019*增加了 .activate.cisco.com 和 *.webapps.cisco.com URL
文本转语音 URL 更新为 *.speech-googleapis.wbx2.com 和
*.texttospeech-googleapis.wbx2.com
删除了 *.quay.io URL
混合服务容器 URL 更新为 *.amazonaws.com
6/27/2019增加了 People Insights 功能的 *.accompany.com 允许列表要求
4/25/2019为有关 TLS 版本支持的行增加了“Webex Teams 服务”。
为媒体流量下的“媒体流”行增加了“Webex Teams”。
在媒体部分的 Webex Teams IP 子网区域之前添加了“地理”二字。
对用词略作了编辑。
通过更新 A/B 测试和指标的 URL 以及在 Google Speech 服务中增加新行,对“Webex Teams URL”表进行了编辑。
在“用于 Webex Teams 混合服务的其他 URL”部分中,删除了 AsyncOS 之后的版本信息“10.1”。
更新了“代理验证支持”部分中的文本。
 
3/26/2019已将此处链接的 URL“请参阅 WSA Webex Teams 配置文档以获取指导信息”从 https://www.cisco.com/c/dam/en/us/products/collateral/security/web-security-appliance/guide-c07-739977.pdf 更改为 https://www.cisco.com/c/en/us/td/docs/security/wsa/wsa11-5/user_guide/b_WSA_UserGuide_11_5_1.html

已将 URL“api.giphy.com”更改为 *.giphy.com
2/21/2019应 John Costello 的要求,已将“Webex Calling”更新为“Webex Calling(之前称为 Spark Calling)”,这是因为即将通过 BroadCloud 发布同名产品 Webex Calling。
2/6/2019已将文本“混合媒体节点”更新为“Webex 视频网格节点”
1/11/2019已将文本“上传到 Webex Teams 空间和 Avatar 存储的端到端加密文件”更新为“上传到 Webex Teams 空间、Avatar 存储、Webex Teams 品牌徽标的端到端加密文件”
1/9/2019已更新以删除以下行: “*为了让 Webex Room 设备获取验证通过 TLS 检查代理的通信所必需的 CA 证书,请联系您的 CSM 或向 Cisco TAC 提交支持申请。”
2018 年 12 月 5 日更新了 URL: 从 Webex Teams URL 表的 4 个条目中删除了“https://”:

https://api.giphy.com                           ->  api.giphy.com 
https://safebrowsing.googleapis.com             ->  safebrowsing.googleapis.com
http://www.msftncsi.com/ncsi.txt                ->  msftncsi.com/ncsi.txt
https://captive.apple.com/hotspot-detect.html   ->  captive.apple.com/hotspot-detect.html
  • 更新了 Webex Teams 链接的 .CSV 文件,以显示上述修订后的链接
2018 年 11 月 30 日新的 URL:
*.ciscosparkcontent.com, *.storage101.ord1.clouddrive.com, *.storage101.dfw1.clouddrive.com, *.storage101.iad3.clouddrive.com, https://api.giphy.com, https://safebrowsing.googleapis.com, http://www.msftncsi.com/ncsi.txt, https://captive.apple.com/hotspot-detect.html, *.segment.com, *.segment.io, *.amplitude.com,*.eum-appdynamics.com, *.docker.io, *.core-os.net, *.s3.amazonaws.com, *.identity.api.rackspacecloud.com
对用于 Windows、iOS 和 Android 系统的其他代理验证方法的支持
Webex Board 采用了协作室设备的操作系统和功能;以下协作室设备都可以使用代理功能: SX、DX、MX、Room Kit 系列和 Webex Board
iOS 和 Android 应用程序对 TLS 检查的支持
删除了协作室设备上对 TLS 检查的支持: SX、DX、MX、Room Kit 系列和 Webex Board
Webex Board 采用了协作室设备的操作系统和功能;支持 802.1X
2018 年 11 月 21 日在媒体部分的 IP 子网区域中增加了下列注释:上述云媒体资源 IP 范围列表并非详尽无遗,Webex Teams 可能还使用未包含在上面列表中的其他 IP 范围。 但是,Webex Teams 应用程序和设备将能够正常运行,但无法连接到未列出的媒体 IP 地址。
2018 年 10 月 19 日增加了注释:Webex Teams 通过第三方对数据收集和崩溃及使用情况指标收集进行诊断和故障排除。 Webex 隐私数据手册中介绍了可能发送给这些第三方网站的数据。 有关详细信息,请参阅: https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-webex-privacy-data-sheet.pdf
独立表格 - 用于混合服务的其他 URL:*.cloudfront.net、*.docker.com、*.quay.io、*.cloudconnector.cisco.com、*.clouddrive.com
2018 年 8 月 7 日增加了有关“端口和协议”表格的注释:如果您在视频网格节点 OVA 中配置本地 NTP 和 DNS 服务器,则不需要在防火墙上开放端口 53 和 123。
2018 年 5 月 7 日重大文档修订

这篇文章对您有帮助吗?