Webex 服務的網路需求

Webex 服務的網路需求

文件修訂歷史記錄
 
本文適用於網路管理員,尤其是想要在其組織內使用 Webex 傳訊和會議服務的防火牆和 Proxy 安全性管理員。 它將協助您設定網路以支援 HTTPS 型 Webex 應用程式與 Webex Room 裝置所使用的 Webex 服務,以及使用 SIP 連線至 Webex Meetings 服務的 Cisco IP 電話、Cisco 視訊裝置和協力廠商裝置。
本文件主要著重於使用 HTTPS 向 Webex 雲端服務傳送 HTTPS 訊號的 Webex 雲端註冊產品的網路需求,另單獨描述使用 SIP 訊號加入 Webex Meetings 的產品網路需求。 這些差異彙總如下:

Webex 雲端註冊應用程式和裝置

所有雲端註冊的 Webex 應用程式和裝置都使用 HTTPS 與 Webex 傳訊和會議服務通訊:

  • 雲端註冊 Webex Room 裝置會針對所有 Webex 服務使用 HTTPS 訊號。
  • 如果啟用裝置的 Webex Edge 功能,則內部部署 SIP 註冊的 Webex 裝置也可以使用 HTTPS 訊號。 此功能允許 Webex 裝置透過 Webex Control Hub 進行管理,並使用 HTTPS 訊號參加 Webex Meetings(如需詳細資料,請參閱 https://help.webex.com/en-us/cy2l2z/Webex-Edge-for-Devices).
  • Webex 應用程式會針對 Webex 傳訊和會議服務使用 HTTPS 訊號。 Webex 應用程式也可以使用 SIP 通訊協定來加入 Webex 會議,但這取決於是透過使用者的 SIP 位址撥打電話給使用者,還是選擇撥打 SIP URL 來加入會議(而不是使用 Webex 應用程式原生的會議功能)。
使用 SIP 的 Webex 雲端及內部部署通話控制註冊裝置
Webex Calling 服務及內部部署通話控制產品(例如 Cisco Unified CM)使用 SIP 做為其通話控制通訊協定。 Webex Room 裝置、Cisco IP 電話和協力廠商產品可以使用 SIP 加入 Webex Meetings。 對於內部部署 SIP 型通話控制產品(例如 Cisco Unified CM),會透過邊界控制器(例如 Expressway C & E 或 CUBE SBC)來建立 SIP 階段作業,以用於接聽和撥打 Webex 雲端的通話。

如需關於 Webex Calling 服務特定網路需求的詳細資料,請參閱: https://help.webex.com/en-us/b2exve/Port-Reference-Information-for-Cisco-Webex-Calling
 

所有雲端註冊的 Webex 應用程式和 Webex Room 裝置僅起始輸出連線。 Cisco 的 Webex 雲端永不對雲端註冊的 Webex 應用程式和 Webex Room 裝置起始輸出連線,但可以對 SIP 裝置發起傳出通話。 Webex 會議和傳訊服務主要託管在全球分佈的資料中心,這些資料中心或為 Cisco 所擁有(例如,用於身分識別服務、會議服務和媒體伺服器的 Webex 資料中心),或託管在 Amazon AWS 平台上的 Cisco 虛擬私人雲端 (VPC) 中(例如,Webex 傳訊微服務、傳訊儲存服務和媒體伺服器)。 所有資料在傳輸和靜止時均被加密。

流量的類型:

Webex 應用程式和 Webex Room 裝置會建立與 Webex 雲端的訊號和媒體連線。

訊號流量
Webex 應用程式和 Webex 裝置將使用 HTTPS 和 WSS(安全 websocket)來傳送訊號。 訊號連線僅限輸出,且使用 URL 建立 Webex 服務的階段作業。

訊號流量會受使用強式加密套件的 TLS 保護。 Webex 服務偏好使用 ECDHE 進行金鑰交涉的 TLS 密碼套件、256 位元對稱加密密碼金鑰和 SHA-2 雜湊功能,例如:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
 
僅 TLS 1.2 版受 Webex 服務支援。
 
除了即時媒體以外的所有 Webex 功能,都透過使用 TLS 的訊號通道來呼叫。
 
使用 URL 建立 Webex 服務的訊號連線
如果您部署了 Proxy 或防火牆來過濾離開企業網路的流量,則可在「Webex 服務需要存取的網域和 URL」一節中,找到需要允許才能存取 Webex 服務的目的地 URL 清單。 不支援依 IP 位址篩選 Webex 訊號流量,因為 Webex 使用的 IP 位址是動態的,隨時可能會變更。

媒體流量
Webex 應用程式和 Webex Room 裝置使用下列加密密碼來加密音訊、視訊和內容共用串流的即時媒體:

  • AES-256-GCM 密碼
  • AES-CM-128-HMAC-SHA1-80 密碼

AES-256-GCM 是一種採用 256 位加密金鑰的新式加密密碼。 Webex 應用程式和 Webex Room 裝置使用 AES-256-GCM* 來加密會議內容。     * Webex 應用程式使用 AES-256-GCM 或 AES-128-GCM 來加密所有 Webex Meeting 類型的內容。 Webex Room 裝置使用 AES-256-GCM 以及 Webex Meetings 的 Zero Trust Security 功能(該功能將於 21 年第一季度推出)對 S-Frame 媒體負載進行端對端加密。如需相關詳細資料,請參閱 Webex 的 Zero-Trust Security 技術文件

AES-CM-128-HMAC-SHA1 是一種成熟的密碼,具有經實證的供應商之間互通性。 AES-CM-128-HMAC-SHA1 用於使用 SRTP 或搭配使用 SRTP 與 SIP 訊號(例如 Cisco 和協力廠商 SIP 裝置)將媒體加密至 Webex 服務。

UDP — Cisco 建議的媒體傳輸通訊協定
根據 RFC 3550 RTP — 一種適用於即時應用程式的傳輸通訊協定,Cisco 偏好並強烈建議使用 UDP 做為所有 Webex 語音和視訊媒體串流的傳輸通訊協定。
 
使用 TCP 做為媒體傳輸通訊協定的缺點
Webex 應用程式和 Webex Room 裝置也支援 TCP 做為備援媒體傳輸通訊協定。 但是,Cisco 不建議將 TCP 作為語音和視訊媒體串流的傳輸通訊協定。 這是因為 TCP 是連線導向的,並且設計為可靠地將正確排序的資料交付給上層通訊協定。 使用 TCP,傳送端將會重新傳送丟失的封包直到確認封包為止,而接收端將會緩衝封包串流直到丟失的封包復原為止。 對於媒體串流,此行為表現為延遲時間/抖動增加,進而影響通話的參加者所體驗的媒體品質。
 
由於透過 TLS 傳輸媒體可能會由於其連線導向型傳輸通訊協定及可能的 Proxy 伺服器瓶頸而造成媒體品質下降,因此 Cisco 強烈建議不要在生產環境中使用 TLS 來傳輸媒體。
 
Webex 媒體使用對稱、內部起始且輸出至 Webex 雲端的 5 元組(來源 IP 位址、目的地 IP 位址、來源埠、目的地埠、通訊協定)串流雙向流動。
 
Webex 應用程式和 Webex Room 裝置也會使用 STUN (RFC 5389) 來測試防火牆穿越和媒體節點可存取性。 如需相關詳細資料,請參閱 Webex 防火牆技術文件
 
Webex  — 媒體的目的地 IP 位址範圍
若要存取 Webex 媒體伺服器來處理離開您企業網路的媒體流量,則必須允許透過企業防火牆存取託管這些媒體服務的 IP 子網路。 在「Webex 媒體服務的 IP 子網路」一節可找到傳送至 Webex 媒體節點的媒體流量目的地 IP 位址範圍。

通過 Proxy 和防火牆的 Webex 流量

大部分客戶部署網際網路防火牆或網際網路 Proxy 和防火牆來限制及控制離開及進入其網路的 HTTP 型流量。 請遵循下列防火牆和 Proxy 指引來支援從您的網路存取 Webex 服務。 如果您只使用防火牆,請注意,不支援使用 IP 位址來篩選 Webex 訊號流量,因為 Webex 訊號服務使用的 IP 位址是動態的,隨時可能會變更。 如果您的防火牆支援 URL 篩選,請設定防火牆以允許「Webex 服務需要存取的網域和 URL」一節中列出的 Webex 目的地 URL。

下表描述需要在防火牆上開啟以允許雲端註冊 Webex 應用程式和裝置的連接埠和通訊協定,以及與 Webex 雲端訊號和媒體服務通訊的裝置。

此表格所涵蓋的 Webex 應用程式、裝置和服務包括:
Webex 應用程式、Webex Room 裝置、視訊網格節點、混合資料安全節點、目錄連接器、行事曆連接器、管理連接器、服務性連接器。
您可在「SIP 型 Webex 服務的網路需求」一節中找到有關使用 SIP 的裝置和 Webex 服務的連接埠和通訊協定指引。

Webex 服務 — 埠號碼和通訊協定

目的地埠

通訊協定

說明

使用此規則的裝置

443TLSWebex HTTPS 訊號。
Webex 服務的階段作業根據定義的 URL 而非 IP 位址建立。

如果您使用 Proxy 伺服器,或您的防火牆支援 DNS 解析,請參閱「Webex 服務需要存取的網域和 URL」一節以允許訊號存取 Webex 服務。
所有
444TLS「視訊網格節點」安全訊號,用於建立與 Webex 雲端的串聯媒體連線視訊網格節點
123 (1)UDP網路時間通訊協定 (NTP)所有
53 (1)UDP
TCP
網域名稱系統 (DNS)

用於 DNS 查找,以在 Webex 雲端探索服務的 IP 位址。
大部分 DNS 查詢都是透過 UDP 進行的;但 DNS 查詢也可能使用 TCP。

 
所有
5004 和 9000*SRTP over UDP在 Webex 應用程式與 Webex Room 裝置上加密的音訊、視訊和內容共用

如需目的地 IP 子網路清單,請參閱「Webex 媒體服務的 IP 子網路」一節。

*Webex 應用程式使用 UDP 連接埠 9000 來連線至 Webex Meetings 媒體服務
Webex 應用程式*

Webex Room 裝置

視訊網格節點
5004SRTP over TCP用於 Webex 應用程式和 Webex Room 裝置上的已加密內容共用

如果無法使用 UDP,則 TCP 也會充當已加密音訊和視訊的備援傳輸通訊協定。

如需目的地 IP 子網路的清單,請參閱「Webex 媒體服務的 IP 子網路」一節。
Webex 應用程式

Webex Room 裝置

視訊網格節點
33434 (2)SRTP over UDP

SRTP over TCP
選用

如果埠 5004 被防火牆封鎖,則會將埠 33434 用於已加密的媒體。

請注意,將在埠 33434 上建立 TCP 通訊端,但僅在透過埠 5004 上的 TCP 和 UDP 以及埠 33434 上的 UDP 連線失敗時使用。 (2)

如需目的地 IP 子網路的清單,請參閱「Webex 媒體服務的 IP 子網路」一節。
Webex 應用程式

Webex Room 裝置
443 (2)SRTP over TLS如果無法使用 UDP 和 TCP,則用作已加密音訊、視訊和內容共用的備援傳輸通訊協定。

在生產環境中不建議使用透過 TLS 傳輸媒體

如需目的地 IP 子網路的清單,請參閱「媒體的 Webex IP 子網路」一節。
Webex 應用程式 (3)

Webex Room 裝置
(1)    如果您在企業網路內使用 NTP 和 DNS 服務,則不需要透過防火牆開啟連接埠 53 和 123。
(2)    針對透過連接埠 33434 上的 UDP/TCP 加密媒體流量開啟防火牆的建議已過時。 然而,如果未開啟連接埠 5004,Webex 仍將探索並使用此連接埠。
(3)    Webex 網路型應用程式及 Webex SDK 不支援透過 TLS 傳輸媒體。
 
Cisco 在安全的 Cisco、Amazon Web Services (AWS) 和 Microsoft Azure 資料中心內支援 Webex 媒體服務。 Amazon 和 Microsoft 已保留其 IP 子網路以專供 Cisco 使用,而位於這些子網路中的媒體服務會在 AWS 虛擬私人雲端和 Microsoft Azure 虛擬網路實例中受到保護。 Microsoft Azure 雲端中的虛擬網路是用來託管 Microsoft Cloud Video Interop (CVI) 服務的伺服器。

設定防火牆以允許存取這些目的地 Webex IP 子網路,以及 Webex 應用程式和裝置中媒體串流的傳輸通訊協定連接埠。 UDP 是 Cisco 偏好的媒體傳輸通訊協定,我們強烈建議僅使用 UDP 來傳輸媒體。 Webex 應用程式和裝置也支援 TCP 和 TLS 作為媒體的傳輸通訊協定,但不建議在生產環境中使用這些通訊協定,因為這些通訊協定的連線導向性可能會嚴重影響損耗網路的媒體品質。

附註: 下面列出的 IP 子網路適用於 Webex 媒體服務。 不支援依 IP 位址篩選 Webex 訊號流量,因為 Webex 使用的 IP 位址是動態的,隨時可能會變更。 Webex 服務的 HTTP 訊號流量在轉往防火牆之前,可依企業 Proxy 伺服器中的 URL/網域進行過濾。
 

媒體服務的 IP 子網路

3.22.157.0/2618.230.160.0/2566.163.32.0/19
3.25.56.0/2520.50.235.0/24*69.26.160.0/19
3.101.70.0/2520.53.87.0/24*114.29.192.0/19
3.101.71.0/2420.57.87.0/24*150.253.128.0/17
3.101.77.128/2820.68.154.0/24*170.72.0.0/16
3.235.73.128/2520.76.127.0/24*170.133.128.0/18
3.235.80.0/2320.108.99.0/24*173.39.224.0/19
3.235.122.0/2423.89.0.0/16173.243.0.0/20
3.235.123.0/2540.119.234.0/24*207.182.160.0/19
18.132.77.0/2544.234.52.192/26209.197.192.0/19
18.141.157.0/2552.232.210.0/24*210.4.192.0/20
18.181.18.0/2562.109.192.0/18216.151.128.0/19
18.181.178.128/2564.68.96.0/19 
18.181.204.0/2566.114.160.0/20 
* Azure 資料中心 — 用於託管適用於 Microsoft Teams 的視訊整合(又稱為 Microsoft Cloud Video Interop)服務

Webex 應用程式和 Webex Room 裝置會執行測試,來偵測組織可用的每個媒體叢集內一部分節點的可存取性及來回時間。 媒體節點可存取性透過 UDP、TCP 和 TLS 傳輸通訊協定進行測試,並在啟動時、網路變更時以及應用程式或裝置執行時定期進行。 這些測試的結果由 Webex 應用程式/Webex 裝置儲存,並會在加入會議或通話之前,傳送至 Webex 雲端。 Webex 雲端會根據傳輸通訊協定(偏好使用 UDP)、來回時間及媒體伺服器資源可用性,使用這些連線性測試結果為 Webex 應用程式/Webex 裝置指派通話的最佳媒體伺服器。

如果已將防火牆設定為僅允許流量進入上方 IP 子網路的子集,您可能仍會看到連線性測試流量經過您的網路,嘗試連線到這些遭封鎖 IP 子網路中的媒體節點。 Webex 應用程式和 Webex Room 裝置將不會使用遭防火牆封鎖的 IP 子網路上之媒體節點。

Cisco 不支援或建議根據特定地理區域或雲端服務提供者過濾 IP 位址的子集。 依區域篩選可能會導致會議體驗嚴重降級,最嚴重的情況包括完全無法加入會議。

Webex 訊號流量和企業 Proxy 設定

大部分組織使用 Proxy 伺服器來檢查及控制離開其網路的 HTTP 流量。 Proxy 可用來執行多種安全功能,例如允許或封鎖對特定 URL 的存取、使用者驗證、IP 位址/網域/主機名稱/URI 聲譽查找以及流量解密和檢查。 Proxy 伺服器也通常用作將 HTTP 型網際網路前往流量轉寄至企業防火牆的唯一路徑,允許防火牆限制僅來自 Proxy 伺服器的輸出網際網路流量。 Proxy 伺服器必須設定為允許 Webex 訊號流量存取下節中列出的網域/URL。

Cisco Webex 服務 URL

網域/URL

說明

使用這些網域/URL 的 Webex 應用程式和裝置

*.wbx2.com
*.ciscospark.com
Webex 微服務。
例如:
傳訊服務
檔案管理服務
金鑰管理服務
軟體升級服務
設定檔圖片服務
白板服務
Proximity 服務
線上狀態服務
註冊服務
行事曆服務
搜尋服務
所有
*.webex.com
*.cisco.com
Webex Meetings 服務
身分佈建
身分儲存
驗證
OAuth 服務
裝置加入
雲端連線 UC
所有
*.webexcontent.com (1)Webex 傳訊服務 — 一般檔案儲存體包括:

使用者檔案、
轉碼檔案、
影像、
螢幕擷取畫面、
白板內容、
用戶端和裝置記錄、
設定檔圖片、
品牌標誌、
記錄檔
批量 CSV 匯出檔案和匯入檔案 (Control Hub)
全部

附註:
使用 webexcontent.com(於 2019 年 10 月取代了 clouddrive.com)的檔案儲存體

您的組織可能仍使用 cloudrive.com 來儲存較舊的檔案 — 如需相關資訊,請參閱 (1)

其他 Webex 相關服務 — Cisco 擁有的網域

URL

說明

使用這些網域/URL 的 Webex 應用程式和裝置

*.accompany.comPeople Insights 整合Webex 應用程式

其他 Webex 相關服務 — 協力廠商網域

URL

說明

使用這些網域/URL 的 Webex 應用程式和裝置

*.sparkpostmail1.com
*.sparkpostmail.com
電子報、註冊資訊、公告的電子郵件服務所有
*.giphy.com允許使用者共用 GIF 影像。 此功能預設情況下已啟用,但可以在 Control Hub 中停用Webex 應用程式
safebrowsing.googleapis.com用於在 URL 展開到訊息串流中之前對其執行安全檢查。 此功能預設情況下已啟用,但可以在 Control Hub 中停用Webex 應用程式

*.walkme.com

s3.walkmeusercontent.com

Webex 使用者指引用戶端。 為新使用者提供入門和使用指南

如需相關資訊,請參閱 https://support.walkme.com/knowledge-base/access-requirements-for-walkme/
Webex Web 型應用程式

speech.googleapis.com
texttospeech.googleapis.com

speech-services-manager-a.wbx2.com

Google Speech Services。 供 Webex Assistant 用來處理語音識別和文字轉語音。 預設情況下已停用,可透過 Control Hub 選擇啟用。 還可以根據每個裝置的情況來停用 Assistant。Webex Room Kit 和 Webex Room 裝置

支援 Webex Assistant 的 Webex Room 裝置的詳細資料在下列網址中記錄:
https://help.webex.com/hzd1aj/Enable-Cisco-Webex-Assistant
msftncsi.com/ncsi.txt

captive.apple.com/hotspot-detect.html
協力廠商網際網路連線檢查,用來識別存在網路連線但未連線至網際網路的情況。

Webex 應用程式會執行自己的網際網路連線檢查,但也可以使用這些協力廠商 URL 作為備援。
Webex 應用程式
*.appdynamics.com
*.eum-appdynamics.com
效能追蹤、錯誤和毀損擷取、階段作業指標 (3)Webex 應用程式
Webex Web 應用程式
*.amplitude.comA/B 測試和度量值 (3)Webex Web 應用程式
Webex Android 應用程式

 
*.vbrickrev.com檢視 Webex Events 網路廣播的出席者會使用此網域Webex Events
*.slido.com
*.sli.do
*.data.logentries.com
用於 Slido PPT 增益集並允許 Slido 網頁在會議前建立民意調查/小測驗所有
*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org
用於從這些憑證授權單位要求憑證撤銷清單

附註 - Webex 支援 CRL 和 OCSP 裝訂來判斷憑證的撤銷狀態。 

透過 OCSP 裝訂,Webex 應用程式和裝置就不需要聯絡這些憑證授權單位
所有
已棄用的核心 Webex 服務 (2)
URL說明使用這些網域/URL 的 Webex 應用程式和裝置
*.clouddrive.comWebex 傳訊檔案儲存體

使用 webexcontent.com(於 2019 年 10 月取代了 clouddrive.com)的檔案儲存體

您的組織可能仍使用 cloudrive.com 來儲存較舊的檔案 — 如需相關資訊,請參閱 (1)
所有
*.ciscosparkcontent.com記錄檔上傳
記錄檔儲存服務現在使用 *.webexcontent.com 網域
Webex 應用程式

 
*.rackcdn.com*.clouddrive.com 網域的內容傳遞網路 (CDN)所有

(1) 從 2019 年 10 月開始,使用者檔案將上傳並儲存在 Cisco 管理的 webexcontent.com 網域。

在 2019 年 10 月之前上傳的檔案將保留在 clouddrive.com 網域中,並且可從 Webex 應用程式進行存取,直到貴組織的保留期屆滿為止(屆時將予以刪除)。 在此期間,您可能需要同時存取 webexcontent.com 網域(針對新檔案)和 clouddrive.com 網域(針對舊檔案)。

如果您強制僅使用 webexcontent.com 網域:  由您或參與組織上傳並儲存在 clouddrive.com 網域中的舊檔案將無法在您所隸屬的 Webex 傳訊空間中檢視和下載。

如果您強制僅使用 clouddrive.com 網域:  您將無法上傳檔案,且您參加其空間的另一個組織所上傳及儲存在 webexcontent.com 網域中的新檔案將無法擷取。

(2) 新客戶(從 2019 年 10 月以後)可以選擇省略這些網域,因為 Webex 將不再用其進行檔案儲存。 但是,請注意,如果您加入由另一個組織擁有的空間,其使用 clouddrive.com 網域來儲存您所需的檔案(即 2019 年 10 月以前上傳的檔案),則您需要允許存取 clouddrive.com 網域。

(3) Webex Teams 使用協力廠商來收集診斷和疑難排解資料;並收集毀損和使用情況指標。 Webex 隱私權資料表中描述了可以傳送至這些協力廠商網站的資料。 如需詳細資料,請參閱:

Webex 服務使用的「內容傳遞網路」
Webex 使用「內容傳遞網路」(CDN) 服務將靜態檔案和內容有效地傳遞至 Webex 應用程式和裝置。 如果是使用 Proxy 伺服器來控制對 Webex 服務的存取,您無需將 CDN 網域新增至 Webex 服務的允許網域清單(因為在進行起始 URL 篩選後,CDN CNAME 的 DNS 解析由您的 Proxy 執行)。 如果您未使用 Proxy 伺服器(例如,僅使用防火牆來篩選 URL),則 DNS 解析由 Webex 應用程式/裝置的作業系統執行,您需要將下列 CDN URL 新增至防火牆的網域允許清單:
*.cloudfront.net
*.akamaiedge.net
*.akamai.net
*.fastly.net
設定您的 Proxy 以允許存取下表中 Webex 混合服務的 URL。 您可以透過將 Proxy 設定為僅允許混合服務節點的來源 IP 位址存取這些 URL,來限制存取這些外部網域。
 

Cisco Webex 混合服務 URL

URL

說明

使用者:

*.docker.com (1)
*.docker.io (1)
混合服務容器視訊網格節點
混合資料安全節點
*s3.amazonaws.com (1)日誌檔案上傳視訊網格節點
混合資料安全節點
*.cloudconnector.webex.com使用者同步  混合服務目錄連接器

(1) 我們計劃針對混合服務容器逐步停止使用 *.docker.com 和 *.docker.io,並最終將它們替換為 *.amazonaws.com。

附註: 如果您使用 Cisco Web Security Appliance (WSA) Proxy 並想要自動更新 Webex 服務所使用的 URL,請參閱 WSA Webex 服務設定文件以取得相關指引,瞭解如何在 Cisco 網路安全的 AsyncOS 中部署 Webex 外部摘要。

如需包含 Webex 服務 URI 清單的 CSV 檔案,請參閱: Webex 服務 CSV 檔案


Proxy 伺服器必須設定為允許 Webex 訊號流量存取前一節中列出的網域/URL。  下面將探討支援與 Webex 服務相關的其他 Proxy 功能:

Proxy 驗證支援

Proxy 可用作存取控制裝置,以封鎖對外部資源的存取權,直到使用者/裝置提供有效的存取權限認證來存取 Proxy 為止。 Proxy 支援數種驗證方法,例如基本驗證、摘要式驗證、(Windows 型)NTLM、Kerberos 和交涉(Kerberos 與 NTLM 後援)。

對於下表中的「無驗證」案例,可以使用 Proxy 位址來設定裝置,但不支援驗證。 使用 Proxy 驗證時,必須在 Webex App 或 Webex Room 裝置的 OS 中設定及儲存有效的認證。

對於 Webex Room 裝置和 Webex 應用程式,可透過平台作業系統或裝置 UI 手動設定 Proxy 位址,或是使用如下機制自動探索 Proxy 位址:

Web Proxy 自動探索 (WPAD) 和/或 Proxy Auto Config (PAC) 檔案:

產品

驗證類型

Proxy 設定

Mac 版 Webex無驗證、基本、NTLM (1)手動、WPAD、PAC
Windows 版 Webex無驗證、基本、NTLM (2)、協商手動、WPAD、PAC、GPO
iOS 版 Webex無驗證、基本、摘要、NTLM手動、WPAD、PAC
Android 版 Webex無驗證、基本、摘要、NTLM手動、PAC
Webex Web 應用程式無驗證、基本、摘要、NTLM、協商透過 OS 受支援
Webex Room 裝置無驗證, 基本, 摘要WPAD、PAC 或手冊
Webex 視訊綱目節點無驗證、基本、摘要、NTLM手動
混合資料安全節點無驗證, 基本, 摘要手動
混合服務主機管理連接器無驗證, 基本手動設定 Expressway C: 應用程式 > 混合服務 > 連接器 Proxy
混合服務: Directory Connector無驗證、基本、NTLM透過 Windows OS 受支援
混合服務 Expressway C: 行事曆連接器無驗證、基本、NTLM手動設定 Expressway C:
應用程式 > 混合服務 > 連接器 Proxy:使用者名稱密碼
Expressway C: 應用程式 > 混合服務 > 行事曆連接器 > Microsoft Exchange > 基本及/或 NTLM
混合服務 Expressway C: 通話連接器無驗證, 基本手動設定 Expressway C:
應用程式 > 混合服務 > 連接器 Proxy

(1): Mac NTLM 驗證 — 機器不必登入網域,系統會提示使用者輸入密碼
(2): Windows NTLM 驗證 - 只有當機器登入網域時才受支援

關於 Windows OS Proxy 設定的指引
Microsoft Windows 支援兩個用於 HTTP 流量的網路程式庫(WinINet 和 WinHTTP),它們允許 Proxy 設定。 WinInet 專為單一使用者的桌面用戶端應用程式設計;WinHTTP 主要設計用於多重使用者的
伺服器型應用程式。 WinINet 是 WinHTTP 的超集;在選擇兩者之一時,您應將 WinINet 用於 Proxy 組態設定。 如需相關資訊,請參閱 https://docs.microsoft.com/en-us/windows/win32/wininet/wininet-vs-winhttp
 

Proxy 檢查和憑證訂選

Webex 應用程式和 Webex 裝置會驗證其建立 TLS 階段作業所使用伺服器的憑證。 憑證檢查(例如,憑證簽發者和數位簽章)依賴於驗證到根憑證的憑證鏈。 若要執行這些驗證,檢查應用程式或裝置使用作業系統信任存放區中安裝的一組根信任 CA 憑證。

如果您部署了 TLS 檢查 Proxy 來攔截、解密和檢查 Webex 流量,請確保 Proxy 代表的憑證(代替 Webex 服務憑證)已由憑證授權單位簽署,其根憑證是安裝在 Webex 應用程式或 Webex 裝置的信任存放區中。 對於 Webex 應用程式,需要將用於簽署 Proxy 所使用憑證的 CA 憑證安裝至裝置的作業系統。 對於 Webex Room 裝置,請向 TAC 開立服務要求,以將此 CA 憑證安裝至 RoomOS 軟體。

下表顯示 Webex 應用程式及 Webex 裝置對 Proxy 伺服器進行 TLS 檢查的支援

產品

支援將自訂授信 CA 用於 TLS 檢查

Webex 應用程式
(Windows、Mac、iOS、Android、Web)
支援*
 
Webex Room 裝置是的
Cisco Webex 視訊網格是的
混合資料安全服務是的
混合服務 — 目錄連接器、行事曆連接器、管理連接器

*附註 - Webex 應用程式不支援 Proxy 伺服器解密,也不支援檢查 Webex Meetings 媒體服務的 TLS 階段作業。 如果您想要檢查已傳送至 webex.com 網域中的服務的流量,您必須針對傳送至 *mcs*.webex.com、*cb*.webex.com 和 *mcc*.webex.com 的流量建立 TLS 檢查豁免資格。
附註 - Webex 應用程式不支援基於 TLS 的媒體連線使用 SNI 擴充功能。 如果 Proxy 伺服器需要 SNI,則 Webex 視訊和音訊服務連線將會失敗。

產品

支援 802.1X

附註

Webex 應用程式
(Windows、Mac、iOS、Android、Web)
是的透過 OS 受支援
Webex Room 裝置是的EAP-FAST  
EAP-MD5
EAP-PEAP
EAP-TLS
EAP-TTLS
透過 GUI 或 Touch 10 設定 802.1X
透過 HTTP 介面上傳憑證
視訊網格節點使用 MAC 位址略過
混合資料安全服務使用 MAC 位址略過
混合服務 — 目錄連接器、行事曆連接器、管理連接器使用 MAC 位址略過

Webex 雲端支援使用 SIP 作為 Webex Meetings 的通話控制通訊協定進行傳入和傳出通話,以及雲端註冊 Webex 應用程式和 Webex Room 裝置的直接(一對一)通話。

Webex Meetings 的 SIP 通話
Webex Meetings 允許使用 SIP 應用程式和裝置的參與者加入會議,方法為:

  • 呼叫會議的 SIP URI(例如,meetingnumber@webex.com)或
  • 呼叫參加者的指定 SIP URI(例如,my-device@customer.com)的 Webex 雲端


SIP 應用程式/裝置與雲端註冊的 Webex 應用程式/Webex Room 裝置之間的通話
Webex 雲端允許 SIP 應用程式和裝置的使用者:

  • 被雲端註冊的 Webex 應用程式和 Webex Room 裝置呼叫
  • 呼叫雲端註冊的 Webex 應用程式和 Webex Room 裝置

在上述兩種情況下,SIP 應用程式和裝置都需要建立與 Webex 雲端的階段作業。 SIP 應用程式或裝置將註冊到 SIP 型通話控制應用程式(例如 Unified CM),該應用程式通常具有與 Expressway C 和 E 的 SIP 幹線連線,可與 Webex 雲端進行傳入和傳出通話(透過網際網路)。

SIP 應用程式和裝置可能:

  • 使用 SIP 向 Unified CM 註冊的 Webex Room 裝置
  • 使用 SIP 向 Unified CM 或 Webex Calling 服務註冊的 Cisco IP 電話
  • 使用協力廠商 SIP 通話控制應用程式的協力廠商 SIP 應用程式或裝置

下表描述存取 Webex SIP 服務所需的埠和通訊協定:

Webex SIP 服務的埠和通訊協定
來源埠目的地埠通訊協定說明
Expressway 暫時埠      Webex 雲端 5060 - 5070SIP over TCP/TLS/MTLS 從 Expressway E 到 Webex 雲端的 SIP 訊號

傳輸通訊協定: TCP/TLS/MTLS
Webex 雲端暫時埠    

 
Expressway 5060 - 5070    SIP over TCP/TLS/MTLS    從 Webex 雲端到 Expressway E 的 SIP 訊號

傳輸通訊協定: TCP/TLS/MTLS
Expressway
36000 - 59999    
Webex 雲端
49152 -59999    

 
RTP/SRTP over UDP
    
從 Expressway E 到 Webex 雲端的未加密/已加密媒體

媒體傳輸通訊協定: UDP
Webex 雲端
49152 - 59999  
 Expressway
36000 - 59999    
RTP/SRTP over UDP    從 Webex 雲端到 Expressway E 的未加密/已加密媒體

媒體傳輸通訊協定: UDP

Expressway E 和 Webex 雲端之間的 SIP 連線支援使用 TCP 的未加密訊號,以及使用 TLS 或 MTLS 的已加密訊號。 偏好使用加密 SIP 訊號,因為在 Webex 雲端與 Expressway E 之間交換的憑證在繼續連線之前可進行驗證。

Expressway 通常用於啟用對 Webex 雲端的 SIP 通話,以及對其他組織的 B2B SIP 通話。 設定防火牆以允許:

  • 所有從 Expressway E 節點輸出的 SIP 訊號流量
  • 所有輸入至 Expressway E 節點的 SIP 訊號流量

如果您希望限制 Webex 雲端的輸入和輸出 SIP 訊號及相關媒體流量。 設定防火牆以允許 Webex 媒體的 IP 子網路流量(請參閱「Webex 媒體服務的 IP 子網路」一節)和以下 AWS 區域: us-east-1、us-east-2、eu-central-1、us-gov-west-2、us-west-2。 這些 AWS 地區的 IP 位址範圍可在這裡找到: https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html 

* 此網頁不會即時更新,因為 AWS 會定期變更其子網路中的 IP 位址範圍。 若要動態追蹤 AWS IP 位址範圍變更,Amazon 建議訂閱下列通知服務: https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html#subscribe-notifications

SIP 型 Webex 服務的媒體會將相同的目的地 IP 子網路用於 Webex 媒體(在這裡列出)

通訊協定埠號方向存取類型註解
TCP    5061, 5062    入站    SIP 訊號    用於 Webex Edge Audio 的入站 SIP 訊號
TCP    5061, 5065    輸出    SIP 訊號    用於 Webex Edge Audio 的出站 SIP 訊號
TCP/UDP    暫時埠
8000 - 59999    
入站    媒體連接埠    在企業防火牆上,需要為傳入 Expressway 的流量開啟針孔,且連接埠範圍為 8000 - 59999

 

Cisco Webex 視訊網格

「Cisco Webex 視訊網格」會在網路中提供本端媒體服務。 媒體可以保留在網路上,而不是全部媒體都前往 Webex Cloud,這樣可以降低網際網路頻寬使用率並提高媒體品質。 如需詳細資料,請參閱 Cisco Webex 視訊網格部署指南

混合行事曆服務

「混合行事曆」服務將 Microsoft Exchange、Office 365 或 Google Calendar 連線至 Webex,以便能輕鬆排定和加入會議(尤其是在使用行動裝置時)。

如需詳細資料,請參閱: Webex 混合行事曆服務的部署指南

混合目錄服務

「Cisco 目錄連接器」是一個用於將身分識別同步至 Webex 雲端的內部部署應用程式。 它可提供簡單的管理程序來自動安全地將企業目錄聯絡人延伸至雲端並將它們保持同步以求精確性和一致性。

如需詳細資料,請參閱: Cisco 目錄連接器的部署指南

Webex 混合服務的偏好架構

「Cisco Webex 混合服務的偏好架構」會描述整體混合架構、其元件及一般設計最佳做法。 請參閱… Webex 混合服務的偏好架構

Webex Calling — 網路需求

如果您還將為 Webex Calling 部署 Webex 會議和傳訊服務,則可在這裡找到 Webex Calling 服務的網路需求: https://help.webex.com/b2exve/Port-Reference-Information-for-Cisco-Webex-Calling
 

修訂日期

新增及變更資訊

10/27/2021在網域表格中新增了 *.walkme.com 和 s3.walkmeusercontent.com。
10/26/2021新增了關於 Windows OS Proxy 設定的指引
10/20/2021在防火牆的網域允許清單中新增了 CDN URL
10/19/2021Webex 應用程式使用 AES-256-GCM 或 AES-128-GCM 來加密所有 Webex Meeting 類型的內容。
10/18/2021新增了 IP 子網路(20.57.87.0/24*、20.76.127.0/24* 和 20.108.99.0/24*),用於託管適用於 Microsoft Teams 的視訊整合(又稱為 Microsoft Cloud Video Interop)服務,以及新增了為 Webex 服務所使用的「內容傳遞網路」新增的網域(*.cloudfront.net、*.akamaiedge.net、*.akamai.net 和 *.fastly.net)
10/11/2021更新了網域和 URL 區段中的信任入口網站鏈結。
10/04/2021已從網域表格中移除不再需要的 *.walkme.com 和 s3.walkmeusercontent.com。
07/30/2021更新了 Proxy 功能區段中的附註
07/13/2021更新了 Proxy 功能區段中的附註
07/02/2021已將 *.s3.amazonaws.com 變更為 *s3.amazonaws.com
06/30/2021更新了「Webex 混合服務的其他 URL」清單。
06/25/2021已將 *.appdynamics.com 網域新增至清單
06/21/2021已將 *.lencr.org 網域新增至清單
06/17/2021更新了「Webex SIP 服務的埠和通訊協定」表格
06/14/2021更新了「Webex SIP 服務的埠和通訊協定」表格
05/27/2021更新了「Webex 混合服務的其他 URL」區段的表格。
04/28/2021為 Slido PPT 增益集新增了網域並允許 Slido 網頁在會議前建立民意調查/小測驗
04/27/2021為 Webex Edge 音訊新增了 23.89.0.0/16 IP 範圍
04/26/2021新增了 20.68.154.0/24*,因為它是 Azure 子網路
04/21/2021更新了 Webex 混合服務的其他 URL 下的 Webex 服務 CSV 檔
04/19/2021新增了 20.53.87.0/24*,因為它是適用於 VIMT/CVI 的 Azure DC
04/15/2021已新增 Webex Events 網路廣播的 *.vbrickrev.com 網域。
03/30/2021大量文件版面配置修訂。
03/30/2021已新增 Webex 網路型應用程式及 Webex SDK 媒體支援的詳細資訊(沒有透過 TLS 傳輸的媒體)。
03/29/2021已列出 Webex Edge for Devices 功能,並包含說明文件的鏈結。
03/15/2021已新增網域 *.identrust.com
02/19/2021針對 FedRAMP 客戶新增了 Webex 服務章節
01/27/2021為雲端連線 UC 服務新增了 *.cisco.com 網域,並為適用於 Microsoft Teams 的視訊整合(又稱為 Microsoft Cloud Video Interop)新增了 Webex Calling 加入 IP 子網路,由 * 指示
01/05/2021新建描述 Webex 應用程式會議和傳訊服務之網路需求的文件
11/13/20從媒體表的 IP 子網路中https://155.190.254.0/23移除了子網路
10/7/2020從 Webex Teams 混合服務的其他 URL 中移除了 *.cloudfront.net 列
9/29/2020為 Webex Teams 媒體服務新增了 IP 子網路 (20.53.87.0/24)
9/29/2020Webex 裝置已重新命名為 Webex Room 裝置
9/29/2020從下表中移除了 *.core-os.net URL:Webex Teams 混合服務的其他 URL
9/7/2020更新了 AWS 地區鏈結
08/25/20簡化了媒體之 Webex Teams IP 子網路的表格和文字
8/10/20新增了如何測試媒體節點可存取性以及 Webex Edge Connect 使用 Cisco IP 子網路的其他相關詳細資料
7/31/20為 AWS 和 Azure 資料中心中的媒體服務新增了 IP 子網路
7/31/20為與 Webex Teams 雲端的 SIP 通話新增了 UDP 目的地媒體埠
7/27/20新增了 170.72.0.0/16 (CIDR) 或 170.72.0.0 - 170.72.255.255(網路範圍)
5/5/20在協力廠商網域表中新增了 sparkpostmail.com
4/22/20新增 IP 範圍 150.253.128.0/17
03/13/20為 walkme.com 服務新增了 URL
新增了用於 Room OS 裝置的 TLS 媒體傳輸
新增了章節:混合通話 SIP 訊號的網路需求
為 Webex Calling 網路需求文件新增了鏈結
12/11/19較小的文字變更、Webex Teams 應用程式和裝置更新 — 埠號碼和通訊協定表格、Webex Teams URL 表格更新和重新設定格式。 移除了對管理連接器和通話連接器混合服務的 NTLM Proxy 驗證支援
10/14/19新增了對 Room 裝置的 TLS 檢查支援
9/16/2019為使用 TCP 作為傳輸通訊協定的 DNS 系統新增了 TCP 支援要求。
新增了 URL *.walkme.com — 此服務為新使用者提供入門和使用指南。
修正了 Web Assistant 所使用的服務 URL。
8/28/2019新增了 *.sparkpostmail1.com URL
電子報、註冊資訊、公告的電子郵件服務
8/20/2019為「視訊網格節點」和「混合資料安全」服務新增了 Proxy 支援
8/15/2019用於 Webex Teams 服務的 Cisco 和 AWS 資料中心概觀。
為檔案儲存新增了 *.webexcontent.com URL
關於檔案儲存棄用 clouddrive.com 的附註
為指標和測試新增了 *.walkme.com URL
7/12/2019新增了 *.activate.cisco.com 和 *.webapps.cisco.com URL
文字轉語音 URL 已更新為 *.speech-googleapis.wbx2.com 和
*.texttospeech-googleapis.wbx2.com
移除了 *.quay.io URL
混合服務容器 URL 已更新為 *.amazonaws.com
6/27/2019為 People Insights 功能新增了 *.accompany.com 允許清單需求
4/25/2019為有關 TLS 版本支援的行新增了「Webex Teams 服務」。
在媒體流量下的媒體串流行中新增了「Webex Teams」。
在媒體部分的 Webex Teams IP 子網路的區域之前新增了「地理」。
對措詞進行了其他較小的修改。
編輯了 Webex Teams URL 表格:更新了 A/B 測試和指標的 URL,並為 Google Speech Services 新增了列。
在「Webex Teams 混合服務的其他 URL」部分中,在 AsyncOS 之後移除了「10.1」版本資訊。
更新了「Proxy 驗證支援」部分中的文字。
 
3/26/2019已將在這裡鏈結的 URL「請參閱 WSA Webex Teams 設定文件以獲取指引」從 https://www.cisco.com/c/dam/en/us/products/collateral/security/web-security-appliance/guide-c07-739977.pdf 變更為 https://www.cisco.com/c/en/us/td/docs/security/wsa/wsa11-5/user_guide/b_WSA_UserGuide_11_5_1.html

已將 URL「api.giphy.com」變更為 *.giphy.com
2/21/2019由於即將透過 BroadCloud 推出同名的產品 — Webex Calling,已根據 John Costello 的要求將「Webex Calling」更新為「Webex Calling(先前稱為 Spark Calling)」。
2/6/2019已將文字「混合媒體節點」更新為「Webex 視訊網格節點」
1/11/2019現已將「端對端加密檔案已上傳至 Webex Teams 空間和頭像儲存空間」更新為「端對端加密檔案已上傳至 Webex Teams 空間、頭像儲存空間、Webex Teams 品牌標誌」
1/9/2019已更新並移除了下列行: 「*若要讓 Webex Room 裝置取得透過 TLS 檢查 Proxy 來驗證通訊所需的 CA 憑證,請聯絡 CSM 或使用 Cisco TAC 開啟案例。」
2018 年 12 月 5 日更新了 URL: 從 Webex Teams URL 表格中的 4 個項目中移除了「https://」:

https://api.giphy.com                           ->  api.giphy.com 
https://safebrowsing.googleapis.com             ->  safebrowsing.googleapis.com
http://www.msftncsi.com/ncsi.txt                ->  msftncsi.com/ncsi.txt
https://captive.apple.com/hotspot-detect.html   ->  captive.apple.com/hotspot-detect.html
  • 為 Webex Teams 更新了鏈結的 .CSV 檔案,以顯示上面顯示的修訂鏈結
2018 年 11 月 30 日新增 URL:
*.ciscosparkcontent.com、*.storage101.ord1.clouddrive.com、*.storage101.dfw1.clouddrive.com、*.storage101.iad3.clouddrive.com、https://api.giphy.com, https://safebrowsing.googleapis.com, http://www.msftncsi.com/ncsi.txt, https://captive.apple.com/hotspot-detect.html, *.segment.com、*.segment.io、*.amplitude.com、*.eum-appdynamics.com、*.docker.io、*.core-os.net、*.s3.amazonaws.com、*.identity.api.rackspacecloud.com
支援 Windows、iOS 和 Android 的其他 Proxy 驗證方法
Webex Board 採用 Room 裝置 OS 和功能;由 Room 裝置共用的 Proxy 功能: SX、DX、MX、Room Kit 系列和 Webex Board
支援透過 iOS 和 Android 應用程式進行 TLS 檢查
移除了對 Room 裝置上 TLS 檢查的支援: SX、DX、MX、Room Kit 系列和 Webex Board
Webex Board 採用 Room 裝置 OS 和功能;802.1X 支援
2018 年 11 月 21 日針對媒體部分的 IP 子網路新增了下列附註:雲端媒體資源的上述 IP 範圍清單並非詳盡無遺,上述清單中可能未包括由 Webex Teams 使用的其他 IP 範圍。 但是,Webex Teams 應用程式和裝置在未連線至未公開媒體 IP 位址的情況下將能夠正常運作。
2018 年 10 月 19 日新增了附註:Webex Teams 使用協力廠商來收集診斷和疑難排解資料;並收集毀損和使用情況指標。 Webex 隱私權資料表中描述了可以傳送至這些協力廠商網站的資料。 如需詳細資料,請參閱: https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-webex-privacy-data-sheet.pdf
混合服務使用的其他 URL 的個別表格 : *.cloudfront.net、*.docker.com、*.quay.io、*.cloudconnector.cisco.com、*.clouddrive.com
2018 年 8 月 7 日針對埠和通訊協定表格新增了附註:如果您在「視訊網格節點」的 OVA 中設定本端 NTP 和 DNS 伺服器,則不需要透過防火牆開放埠 53 和 123。
2018 年 5 月 7 日大量文件修訂

本文是否有幫助?