您可能注意到某些文章显示的内容前后不一致。请原谅我们在更新站点时存在的不足之处。
cross icon
Webex 服务的网络要求
list-menu反馈?

Webex 服务的网络要求

文档修订历史记录
 
本文面向希望在其组织中使用Webex云协作服务套件的网络管理员,尤其是防火墙和代理安全管理员。本文档的主要重点是Webex Meetings和Webex 的网络要求,该文档还提供了指向描述Webex 网络要求的文档的链接。

本文将帮助您配置对以下用户使用的Webex服务套件的网络访问:会议、消息传递和呼叫的

云注册Webex应用程序客户端
云注册Webex Meetings Center应用程序客户端
云注册Cisco视频设备、Cisco IP电话、Cisco视频设备和使用SIP连接到Webex套件服务的第三方设备。

本文档主要重点介绍使用HTTPS信令与Webex Suite服务通信的Webex云注册产品的网络要求,但也分别描述了使用SIP信令与Webex云通信的产品的网络要求。以下将简要介绍这些差异:

云注册 Webex 应用程序和设备

所有云注册 Webex 应用程序和设备都使用 HTTPS 与 Webex 消息和会议服务进行通信:

  • Webex应用程序将HTTPS信令用于Webex消息传递和会议服务。Webex应用程序还可以使用SIP协议加入Webex会议,但这取决于用户通过其SIP地址被呼叫或选择拨打SIP URL加入会议(而不是使用Webex应用程序本机的会议功能)。
  • 云注册Cisco视频设备对所有Webex服务使用HTTPS信令。
  • 当设备的 Webex Edge 功能被禁用时,通过 SIP 注册的本地设备也可使用 HTTPS 信令。此功能允许通过Webex Control Hub管理Webex设备,并使用HTTPS信令参加Webex Meetings(有关详细信息,请参阅 https://help.webex.com/en-us/cy2l2z/Webex-Edge-for-Devices).
SIP的Webex云和本地呼叫控制注册设备
bex 服务和本地呼叫控制产品(如Cisco Unified CM)使用SIP作为其呼叫控制协议。Cisco视频设备、Cisco IP电话和第三方产品可以使用SIP加入Webex Meetings。对于基于SIP的本地部署呼叫控制产品(例如Cisco Unified CM),SIP会话通过边界控制器(例如Expressway C & E或CUBE SBC)建立,用于与Webex云之间的呼叫。

有关Webex 服务的特定网络要求的详细信息,请参阅: https://help.webex.com/en-us/b2exve/Port-Reference-Information-for-Cisco-Webex-Calling

所有云注册Webex应用程序和Cisco视频设备仅发起出站连接。Cisco的Webex Cloud从不发起到云注册Webex应用程序和Cisco Video设备的出站连接,但可以向SIP设备发起出站呼叫。

用于会议和消息传递的Webex服务托管在Cisco拥有的全球分布的数据中心(例如用于身份服务、会议服务和媒体服务器的Webex数据中心)或托管在Amazon AWS平台上的Cisco虚拟专用云(VPC)中(例如Webex消息传递微服务、消息传递存储服务)。Webex服务还驻留在Microsoft Azure数据中心,用于与Microsoft Teams (VIMT)进行视频互操作。

流量的类型:

Webex应用程序和Cisco视频设备建立与Webex云的信令和媒体连接。

信令流量
Webex应用程序和Cisco视频设备使用HTTP作为基于TLS的HTTP (HTTPS)和基于TLS的安全Web套接字(WSS),以实现基于REST的信令到Webex云。信令连接仅为出站连接,并使用URL建立Webex服务的会话。

与Webex服务的TLS信令连接使用TLS 1.2或1.3版。密码选择基于Webex服务器TLS首选项。

使用TLS 1.2或1.3时,Webex倾向于使用以下密码套件:

  • 关键谈判的ECDHE
  • 基于RSA的证书(3072位密钥大小)
  • SHA2身份验证(SHA384或SHA )
  • 使用128或256位的强加密密码(例如AES_256_GCM)

对于TLS 1.2版连接,Webex按以下首选项顺序支持密码套件*:

TLS_ECDHE_RSA_使用_AES_256_GCM_SHA384
TLS_ECDHE_RSA_使用_AES_128人_GCM_SHA256
TLS_ECDHE_RSA_使用_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_使用_AES_256_CBC_SHA384
TLS_ECDHE_RSA_使用_AES_128人_CBC_SHA256

注:对于没有更安全的GCM模式加密的旧浏览器,CBC模式加密是支持的。
  
对于TLS 1.3版连接,Webex支持以下首选项顺序的密码套件*:

TLS_AES_256_GCM_SHA384
TLS_chacha_POLY1305_SHA256
_AES_128_GCM_SHA256

注意-对于TLS 1.3,ECDHE密钥协商和基于RSA的证书是规范中的必填部分,因此在密码套件描述中省略了此详细信息。
 
*密码套件和密码套件首选项顺序可能因某些Webex服务而有所不同
 
使用URL建立与Webex服务的信令连接
如果您已部署代理或防火墙来过滤离开企业网络的流量,可在“Webex服务需要访问的域和URL”一节中找到需要允许访问Webex服务的目标URL列表。

Webex强烈建议您不要在通过代理/防火墙时更改或删除HTTP标头值https://www.w3.org/TR/ct-guidelines/#sec-altering-header-values,除非本准则允许。修改或删除这些准则之外的HTTP标头可能会影响对Webex服务的访问,包括Webex应用程序和Cisco视频设备无法访问Webex服务。

不支持按 IP 地址过滤 Webex 信令流量,因为 Webex 使用的 IP 地址是动态的,随时可能更改。

媒体流量
Webex应用程序和Cisco视频设备使用以下加密密码加密音频、视频和内容共享流的实时媒体:

  • AES-256-GCM 密码
  • AES-CM-128-HMAC-SHA1-80 密码

AES-256-GCM是Webex应用程序和Cisco视频设备用于加密实时媒体的首选加密密码。    

AES-CM-128-HMAC-SHA1是成熟密码,经证明供应商之间可互操作性。AES-CM-128-HMAC-SHA1通常用于通过使用SRTP和SIP信令(例如Cisco和第三方SIP设备)从终端将媒体加密到Webex服务。

按首选项顺序,Webex应用程序和Cisco视频设备支持UDP、TCP和TLS作为媒体传输协议。如果防火墙阻止UDP端口,Webex应用程序和Cisco视频设备将退回到TCP。如果TCP端口被阻止,Webex应用程序和Cisco视频设备将退回到TLS。

UDP – Cisco推荐的媒体传输协议
根据RFC 3550 RTP -实时应用程序的传输协议,Cisco希望并强烈建议将UDP作为所有Webex语音和视频媒体流的传输协议。
 
将TCP用作媒体传输协议的缺点
Webex应用程序和Cisco视频设备还支持将TCP用作回退式媒体传输协议。但是,Cisco 不建议将 TCP 作为语音和视频媒体流的传输协议。这是因为 TCP 是面向连接的,旨在可靠地将排序正确的数据传递给上层协议。在使用 TCP 时,发送方将重新传输丢失的数据包,直到它们被确认,而接收方会缓冲数据包流,直到丢失的数据包被恢复。对于媒体流而言,这种行为表现为延迟/抖动增加,而这又会影响通话参加者所体验的媒体质量。

使用TLS作为媒体传输协议的缺点
加密TCP连接(TLS)可能会由于潜在的代理服务器瓶颈而导致媒体质量进一步下降。如果Webex应用程序和具有配置的代理服务器的Cisco Video设备将TLS用作媒体传输协议,则此媒体流量将通过代理服务器路由,这可能会造成带宽瓶颈和后续丢包。  Cisco强烈建议不要使用TLS在生产环境中传输媒体。

Webex 媒体使用出站至 Webex 云的对称的内部发起 5 元组(源 IP 地址、目标 IP 地址、源端口、目标端口、协议)流来双向流动。
 
Webex应用程序和Cisco视频设备还使用STUN (RFC 5389)进行防火墙穿越和媒体节点可达性测试。有关更多详细信息,请参阅 Webex 防火墙技术文件
 
Webex  –媒体的目标IP地址范围
要访问处理离开企业网络的媒体流量的Webex媒体服务器,您必须允许托管这些媒体服务的IP子网可通过企业防火墙访问。您可以在 Webex 媒体服务的 IP 子网部分查看发送到 Webex 媒体节点的媒体流量目标 IP 地址范围。

通过代理和防火墙的 Webex 流量

大多数客户部署互联网防火墙或互联网代理和防火墙,以限制和控制离开和进入其网络的 HTTP 流量。按照下面的防火墙和代理指南,启用从您的网络访问 Webex 服务。如果您仅使用防火墙,请注意,不支持使用 IP 地址过滤 Webex 信令流量,因为 Webex 信令使用的 IP 地址是动态的,随时可能更改。如果您的防火墙支持URL过滤,请将防火墙配置为允许“  bex服务需要访问的域和URL”部分中列出的Webex目标URL。

下表描述了需要在防火墙上打开的端口和协议,以允许云注册Webex应用程序和Cisco视频设备与Webex云信令和媒体服务通信。

下表中涵盖的Webex应用程序、设备和服务包括:
Webex应用程序、Cisco视频设备、视频网格节点、混合数据安全节点、目录连接器、日历连接器、管理连接器、功能配置连接器。
使用SIP的设备和Webex服务的端口和协议指导,请参阅“基于SIP的Webex服务的网络要求” 部分。

Webex 服务 - 端口号和协议

目标端口

协议

描述

使用此规则的设备

443TLSWebex HTTPS 信令。
向 Webex 服务建立会话是基于定义的 URL,而不是 IP 地址。

如果您使用的是代理服务器,或者您的防火墙支持DNS解析;请参阅 “Webex服务需要访问的域和URL” 部分以允许信令访问Webex服务。
所有
123 (1)UDP网络时间协议 (NTP)所有
53 (1)UDP
CP
域名系统(DNS)

用于DNS查找以发现Webex云中服务的IP地址。
大部分 DNS 查询通过 UDP 进行;但是,DNS 查询也可以通过 TCP 进行。

 
所有
5004 和 9000UDP 上的 SRTPWebex应用程序和Cisco视频设备上的加密音频、视频和内容共享

有关目标IP子网的列表,请参阅“Webex媒体服务的IP子网”部分。
Webex应用程序

isco视频设备

网格节点
50,000 – 53,000UDP 上的 SRTP加密的音频、视频和视频内容共享 - 仅视频网格节点视频网格节点
5004TCP 上的 SRTP在无法使用 UDP 时,TCP 用作加密的音频、视频和内容共享的回退传输协议。

目标IP子网列表,请参阅“Webex媒体服务的IP子网” 部分。
Webex应用程序

isco视频设备

网格节点
443TLS 上的 SRTP在无法使用 UDP 和 TCP 时用作加密的音频、视频和内容共享的回退传输协议。

不建议在生产环境中使用TLS进行媒体

有关目标IP子网的列表,请参阅“Webex媒体服务的IP子网”部分。
Webex应用程序

isco视频设备
  1. 如果您在企业网络中使用 NTP 和 DNS 服务,则端口 53 和 123 无需通过防火墙打开。

Webex支持用于信令和媒体服务的IPv4和IPv6。对于大多数客户,通过IPv4和IPv6支持Webex不会出现任何问题。但是,如果网络的最大可传输单元(MTU)设置为非默认值,可能会出现问题。

最大可传输单元(MTU)是可以通过网络链路而不碎片传输的IP包的最大大小。IPv6 RFC要求最小MTU大小为1280字节。大多数路由和开关设备在所有接口上都支持1500字节的最大MTU大小。

IPv6增加了额外的IP数据包开销,与IPv4流量相比,这增加了数据包大小。IPv6 RFC要求最小MTU大小为1280字节。

Webex建议将网络上接收和发送的所有IP数据包的默认最大传输单元(MTU)大小保持为1500字节。如果您需要减少网络中的MTU大小,Webex建议将其减少到不少于1300字节。

  Webex媒体服务托管在Cisco数据中心。

Cisco还支持Microsoft Azure数据中心中的Webex媒体服务,以实现与Microsoft Teams (VIMT)的视频集成。Microsoft已保留其IP子网供Cisco单独使用,位于这些子网中的媒体服务在Microsoft Azure虚拟网络实例中受到保护。有关VIMT部署的指导,请参阅 https://help.webex.com/en-us/article/nffx8kj/Deploy-the-Webex-video-integration-for-Microsoft-Teams

配置防火墙以允许从Webex应用程序和设备访问媒体流的这些目标、Webex IP子网和传输协议端口。

Webex应用程序和Cisco视频设备支持UDP、TCP和TLS作为媒体传输协议。如果防火墙阻止UDP端口,Webex应用程序和Cisco视频设备将退回到TCP。如果TCP端口被阻止,Webex应用程序和Cisco视频设备将退回到TLS。

UDP是Cisco首选的媒体传输协议,我们强烈建议仅使用UDP来传输媒体。Webex应用程序和Cisco视频设备还支持TCP和TLS作为媒体的传输协议,但在生产环境中不建议使用这些协议,因为这些协议的面向连接的性质可能会严重影响有损网络上的媒体质量。
注:
以下为 Webex 媒体服务的 IP 子网。不支持按 IP 地址过滤 Webex 信令流量,因为 Webex 使用的 IP 地址是动态的,随时可能更改。在转发到防火墙之前,可以通过企业代理服务器中的URL/域过滤到Webex服务的HTTP信令流量。

媒体服务的 IP 子网

4.152.214.0/24*66.114.160.0/20
4.158.208.0/24*66.163.32.0/19
4.175.120.0/24*69.26.160.0/19
20.50.235.0/24*114.29.192.0/19
20.53.87.0/24*144.196.0.0/16
20.57.87.0/24*150.253.128.0/17
20.68.154.0/24*163.129.0.0/16
20.76.127.0/24*170.72.0.0/16
20.108.99.0/24*170.133.128.0/18
20.120.238.0/23*173.39.224.0/19
23.89.0.0/16173.243.0.0/20
40.119.234.0/24*207.182.160.0/19
44.234.52.192/26209.197.192.0/19
52.232.210.0/24*210.4.192.0/20
62.109.192.0/18216.151.128.0/19
64.68.96.0/19 


* Azure数据中心-用于托管Microsoft Teams的视频集成(又称Microsoft Cloud Video Interop)服务

Webex应用程序和Cisco视频设备会执行测试,以检测组织可用的每个媒体集群中部分节点的可达性和往返时间。媒体节点可达性通过 UDP、TCP 和 TLS 传输协议进行测试,在启动、网络更改时发生,并在应用程序或设备运行时定期发生。这些测试的结果会在加入会议或呼叫之前存储并发送到Webex云。Webex云使用这些可达性测试结果,根据传输协议(首选UDP)、往返时间和媒体服务器资源可用性,为Webex应用程序/Webex设备分配呼叫的最佳媒体服务器。

Cisco不支持也不建议根据特定地理区域或云服务提供商过滤部分IP地址。按地区过滤可能导致会议体验严重下降,最严重的情况包括完全无法加入会议。

如果您已经将防火墙配置为仅允许向上述 IP 子网的子集传输流量,您仍然可能会看到可访问性测试流量穿越您的网络,以尝试访问这些被阻止的 IP 子网中的媒体节点。被防火墙阻止的IP子网上的媒体节点不会被Webex应用程序和Cisco视频设备使用。

 

Webex 信令流量和企业代理配置

许多组织使用代理服务器来检查和控制离开其网络的 HTTP 流量。代理可用于执行若干安全功能,例如允许或阻止访问特定 URL、用户验证、IP 地址/域/主机名/URI 信誉查找以及流量解密和检查。代理服务器通常也用作可以将基于 HTTP 的发往互联网的流量转发到企业防火墙的唯一路径,从而允许防火墙将出站互联网流量限制为仅源自这些代理服务器的流量。代理服务器必须配置为允许 Webex 信令流量访问下文中列出的域/URL:

Webex强烈建议您不要在通过代理/防火墙时更改或删除HTTP标头值https://www.w3.org/TR/ct-guidelines/#sec-altering-header-values,除非本准则允许。修改或删除这些准则之外的HTTP标头可能会影响对Webex服务的访问,包括Webex应用程序和Cisco视频设备无法访问Webex服务。

注:URL 开头显示的 *(例如 *.webex.com)表示顶级域和所有子域中的服务都必须可访问。
 

Cisco Webex 服务 URL

域/URL

描述

使用这些域/URL 的 Webex 应用程序和设备

*.webex.com
*.cisco.com
*.wbx2.com
*.ciscospark.com
*.webexapis.com
Webex 微服务。


例如:
Webex Meetings服务
消息传递服务
文件管理服务
密钥管理服务
软件升级服务
档案照片服务
白板服务
近接服务
服务
注册服务
日历服务
搜索服务
身份验证

OAuth服务
设备加入
云连接UC

所有
*.webexcontent.com (1)用户生成的内容和日志的Webex存储空间,包括:

共享文件,
转码文件,
图像,
屏幕截图,
白板内容,
客户端和设备日志,
档案照片,
品牌徽标,图像
日志文件
批量CSV导出文件和导入文件(Control Hub)
全部

 

其他 Webex 相关服务 - Cisco 拥有的域

URL

描述

使用这些域/URL 的 Webex 应用程序和设备

*.accompany.comPeople Insights 集成Webex 应用程序

其他 Webex 相关服务 - 第三方域

URL

描述

使用这些域/URL 的 Webex 应用程序和设备

*.sparkpostmail1.com
*.sparkpostmail.com
时事通讯、注册信息、公告的电子邮件服务所有
*.giphy.com允许用户共享 GIF 图像。此功能缺省为开启状态,但可在 Control Hub 中禁用Webex 应用程序
safebrowsing.googleapis.com用于在消息流中展开URL之前对URL执行安全检查。此功能缺省为开启状态,但可在 Control Hub 中禁用Webex 应用程序

*。walkme.com

s3.walkmeusercontent.com

Webex 用户指南客户端。为新用户提供加入和使用教程

有关更多信息,请参阅 https://support.walkme.com/knowledge-base/access-requirements-for-walkme/
Webex 基于 Web 的应用程序

speech.googleapis.com
texttospeech.googleapis.com

speech-services-manager-a.wbx2.com

Google Speech 服务。Webex Assistant 用它来处理语音识别和文字到语音转换。默认禁用,通过Control Hub选择加入。也可针对每个设备禁用助理。Webex Room Kit和Cisco视频设备

此处记录了支持Webex Assistant的Cisco视频设备的详细信息:
https://help.webex.com/hzd1aj/Enable-Cisco-Webex-Assistant
msftncsi.com/ncsi.txt

captive.apple.com/hotspot-detect.html
第三方互联网连接检查以识别存在网络连接但未连接互联网的情况。

Webex应用程序会执行自己的互联网连接检查,但也可以使用这些第三方URL作为备用。
Webex 应用程序
*。appdynamics.com
*。eum-appdynamics.com
性能跟踪、错误和崩溃捕获、会话指标(1)Webex应用程序
bex Web应用程序
*.amplitude.comA/B测试和指标(1)Webex Web应用程序
bex Android应用程序

 
*.livestream.webex.com
*.vbrickrev.com
查看Webex Events和网络广播的与会者使用此域Webex Events,Webex网络广播
*。slido.com
*。sli.do
*。data.logentries.com

slido-assets-production.s3.eu-west-1.amazonaws.com
用于 Slido PPT加载项,并允许Slido 网页在会议前创建投票/测验

用于导出问题和答案、投票结果等 Slido
全部
*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org
用于向这些证书颁发机构请求证书吊销列表

注意- Webex支持CRL和OCSP存书来确定证书的吊销状态。 

通过OCSP固定,Webex应用程序和设备无需联系这些证书颁发机构。
所有
*.intel.com用于针对通过 Webex 应用程序和设备所使用背景图像发送的证书,请求证书吊销列表并检查 Intel OCSP 服务的证书状态所有
*.google.com
*.googleapis.com
移动设备上的Webex应用程序通知(如新消息)

Google Firebase Cloud Messaging (FCM)服务
https://firebase.google.com/docs/cloud-messaging/concept-options#messaging-ports-and-your-firewall

Apple推送通知服务(APNS)
https://support.apple.com/en-us/HT203609
注意-对于APNS,Apple仅列出此服务的IP子网
Webex 应用程序
cdnjs.cloudflare.com cdn.jsdelivr.net static2.sharepointonline.com appsforoffice.microsoft.com适用于Microsoft Outlook的Webex安排程序的URL
Microsoft Outlook用户可以在任何浏览器中使用Webex安排程序直接从Microsoft Outlook安排Webex会议或Webex个人会议室会议。
有关详细信息,请参阅:单击这里
所有
核心Webex服务被弃用
URL描述使用这些域/URL 的 Webex 应用程序和设备
*.clouddrive.com用户生成内容和日志的Webex存储

2019年10月,clouddrive.com上的文件存储已被webexcontent.com取代

对于用户生成内容的保留期较长的组织可能仍在使用cloudrive.com存储较旧的文件
所有
*.ciscosparkcontent.com日志文件上传
文件存储服务现在使用*。webexcontent.com域
Webex应用程序

 
*.rackcdn.com*.clouddrive.com 域的内容分发网络 (CDN)所有

(1) Webex使用第三方进行诊断和故障排除数据收集,以及故障和使用情况指标的收集。Webex 隐私数据手册中介绍了可能发送给这些第三方网站的数据。有关详细信息,请参阅:

Webex服务使用的内容交付网络
Webex使用内容交付网络(CDN)服务高效地将静态文件和内容传送到Webex应用程序和设备。如果您使用代理服务器控制对 Webex 服务的访问,则无需将 CDN 域添加到 Webex 服务允许的域列表中(因为 DNS 解析为 CDN CNAME 的操作在初始 URL 过滤后由您的代理执行)。如果您未使用代理服务器(例如,您仅使用防火墙过滤URL),DNS解析由您的Webex应用程序/设备的操作系统执行,您需要将以下CDN URL添加到域,以便在防火墙中允许列表:
*.cloudfront.net
*.akamaiedge.net
*.akamai.net
*.fastly.net
将代理配置为允许访问下表中 Webex 混合服务的 URL。可通过将代理配置为仅允许混合服务节点的源 IP 地址访问这些 URL,以限制对这些外部域的访问。
 

Cisco Webex 混合服务 URL

URL

描述

用于:

*。docker.com (1)
*。docker.io (1)
*dkr.ecr.us-east-1.amazonaws.com
混合服务容器视频网格节点
混合数据安全节点
*s3.amazonaws.com (1)日志文件上传视频网格节点
混合数据安全节点
*.cloudconnector.webex.com用户同步  混合服务目录连接器

(1)我们计划逐步停止对混合服务容器使用*。docker.com和*。docker.io,最终以*。amazonaws.com的子域取代它们。
注:
如果您使用Cisco Web安全设备(WSA)代理并希望自动更新Webex服务使用的URL,请参阅 WSA Webex服务配置文档 ,以获取有关如何在AsyncOS for Cisco Web Security中部署Webex外部摘要的指导。

有关包含Webex服务URI列表的CSV文件,请参阅:  bex服务CSV文件


代理服务器必须配置为允许 Webex 信令流量访问上一部分中列出的域/URL。  与Webex服务相关的其他代理功能的讨论如下:

代理验证支持

代理可用作访问控制设备,在用户/设备向代理提供有效的访问权限凭证之前阻止对外部资源的访问。代理支持多种身份验证方法,例如基本身份验证、摘要身份验证(基于Windows)NTLM、Kerberos和协商(带NTLM回退的Kerberos)。

对于下表中的“无验证”情况,可以使用代理地址配置设备,但不支持验证。使用代理验证时,必须配置有效凭证并将其存储在Webex应用程序或Cisco视频设备的操作系统中。

对于Cisco视频设备和Webex应用程序,可以通过平台操作系统或设备UI手动配置代理地址,也可以使用以下机制自动发现:

Web 代理自动发现 (WPAD) 和/或代理自动配置 (PAC) 文件:

产品

验证类型

代理配置

Mac 版 Webex不验证、基本、NTLM (1)手动、WPAD、PAC
Windows 版 Webex不验证、基本、NTLM (2)、协商手动、WPAD、PAC、GPO
iOS 版 Webex不验证、基本、摘要、NTLM手动、WPAD、PAC
Android 版 Webex不验证、基本、摘要、NTLM手动、PAC
Webex Web 应用程序不验证、基本、摘要、NTLM、协商通过 OS 提供支持
Cisco视频设备不验证、基本、摘要WPAD、PAC 或手动
Webex 视频网格节点不验证、基本、摘要、NTLM手动
混合数据安全节点不验证、基本、摘要手动
混合服务主机管理连接器不验证、基本手动配置 Expressway C:应用程序 > 混合服务 > 连接器代理
混合服务:Directory Connector不验证、基本、NTLM通过 Windows OS 提供支持
混合服务 Expressway C:日历连接器不验证、基本、NTLM手动配置 Expressway C:
应用程序>混合服务>连接器代理:用户名密码
way C:应用程序 > 混合服务 > 日历连接器 > Microsoft Exchange > 基本和/或 NTLM
混合服务 Expressway C:呼叫连接器不验证、基本手动配置 Expressway C:
应用程序 > 混合服务 > 连接器代理

(1): Mac NTLM Auth -机器无需登录到域,用户需要输入密码
(2): Windows NTLM验证-仅当机器登录到域时才受支持

Windows操作系统的代理指南设置
Microsoft Windows支持允许代理配置的两个HTTP流量网络库(WinInEt和WinHTTP)。WinInet 专为单用户桌面客户端应用程序设计;WinHTTP 主要针对基于
服务器的多用户应用程序设计。WinINet 是 WinHTTP 的超集;在两者之间选择时,您应使用 WinINet 进行代理配置设置。有关更多信息,请参阅https://docs.microsoft.com/en-us/windows/win32/wininet/wininet-vs-winhttp
 

代理检查和证书置顶

Webex应用程序和Cisco视频设备会验证他们与之建立TLS会话的服务器的证书。证书检查(例如,证书颁发者和数字签名)依赖于验证直至根证书的证书链。要执行这些验证检查,应用程序或设备使用安装在操作系统信任存储区中的一组受信任的根CA证书。

如果您部署了TLS检查代理以拦截、解密和检查Webex流量,请确保代理提交的证书(代替Webex服务证书)由安装在Webex应用程序或Webex设备信任库中的证书颁发机构签署。对于 Webex 应用程序,用于签署代理使用的证书的 CA 证书需要安装到设备的操作系统中。对于Cisco视频设备,请向TAC提交服务请求以将此CA证书安装到RoomOS软件中。

下表显示了Webex应用程序和Webex设备对代理服务器进行TLS检查的支持:

产品

支持自定义受信任 CA 以进行 TLS 检查

Webex应用程序
(Windows、Mac、iOS、Android、Web)
是*
 
Cisco视频设备
Cisco Webex 视频网
混合数据安全服务
混合服务 - 目录、日历、管理连接器不支持

"* 注 - Webex 应用程序不支持代理服务器对 Webex Meetings 媒体服务的 TLS 会话进行解密和检查。如果要检查发送到webex.com域中服务的流量,必须为发送到*mcs*。webex.com、*cb*。webex.com和*mcc*。webex.com的流量创建TLS检查豁免。
注- Webex应用程序不支持用于基于TLS的媒体连接的SNI扩展。如果代理服务器必须使用 SNI 扩展,Webex 音频和视频服务则会连接失败。

产品

支持 802.1X

笔记

Webex应用程序
(Windows、Mac、iOS、Android、Web)
通过 OS 提供支持
Cisco视频设备EAP-FAST  
EAP-MD5
EAP-PEAP
EAP-TLS
EAP-TTLS
通过GUI或Touch 10配置802.1X
通过HTTP接口上传证书
视频网格节点不支持使用 MAC 地址旁路
混合数据安全服务不支持使用 MAC 地址旁路
混合服务 - 目录、日历、管理连接器不支持使用 MAC 地址旁路

Webex云支持使用SIP作为Webex Meetings呼叫控制协议的入站和出站呼叫,并支持从/到云注册Webex应用程序和Cisco视频设备的直接(一对一)呼叫。

Webex Meetings的SIP呼叫
Webex Meetings允许使用SIP应用程序和设备的参加者通过以下任一方式加入会议:

  • 呼叫会议的 SIP URI(例如,meetingnumber@webex.com),或者
  • Webex 云呼叫参加者指定的 SIP URI(例如,my-device@customer.com)


SIP应用程序/设备与云之间的呼叫注册了Webex应用程序/Cisco视频设备
Webex云允许SIP应用程序和设备的用户:

  • 由云注册Webex应用程序和Cisco视频设备呼叫
  • 呼叫云注册Webex应用程序和Cisco视频设备

在上述两种情况下,SIP 应用程序和设备都需要建立与 Webex 云之间的会话。SIP应用程序或设备将注册到基于SIP的呼叫控制应用程序(例如Unified CM),该应用程序通常与允许入站和出站呼叫(通过互联网)到WeBEX云的ExpressWAY C和E具有SIP中继连接。

SIP 应用程序和设备可能为:

  • 使用SIP注册到Unified CM的Cisco视频设备
  • 使用 SIP 注册到 Unified CM 或 Webex Calling 服务的 Cisco IP 电话
  • 使用第三方 SIP 呼叫控制应用程序的第三方 SIP 应用程序或设备

注*如果路由器或SIP防火墙可感知SIP,这意味着它已启用SIP应用程序层网关(ALG)或类似功能,我们建议您关闭此功能以保持服务的正确运行。有关如何在特定设备上禁用 SIP ALG 的信息,请参阅相关制造商的文档

下表描述了访问 Webex SIP 服务所需的端口和协议:

Webex SIP 服务的端口和协议
源端口目标端口协议描述
Expressway  端口    Webex Cloud 5060 - 5070基于TCP/TLS/MTLS的SIP 从Expressway E到Webex云

协议的SIP信令:TCP/TLS/MTLS
Webex云临时端口   

 
Expressway 5060 - 5070   基于TCP/TLS/MTLS的SIP 从Webex云到Expressway E

协议的SIP信令:TCP/TLS/MTLS
Expressway
36000 - 59999   
Webex云
49152 -59999   

 
通过UDP的RTP/SRTP
   
从Expressway E到Webex云

传输协议的未加密/加密媒体:UDP
Webex云
49152 - 59999  
Expressway
36000 - 59999   
通过UDP的RTP/SRTP   从Webex云到Expressway E

媒体传输协议的未加密/加密媒体:UDP

Expressway E 和 Webex 云之间的 SIP 连接支持使用 TCP 的未加密信令,以及使用 TLS 或 MTLS 的加密信令。首选  SIP信令,因为可以在继续连接之前验证Webex云和Expressway E之间交换的证书。

Expressway 通常用于启用到 Webex 云的 SIP 呼叫以及到其他组织的 B2B SIP 呼叫。配置您的防火墙以允许:

  • 来自 Expressway E 节点的所有出站 SIP 信令流量
  • 到 Expressway E 节点的所有入站 SIP 信令流量

如果您希望限制与 Webex 云之间的入站和出站 SIP 信令流量及相关媒体流量。配置防火墙以允许SIP信令和媒体流量访问Webex媒体服务的IP子网(请参阅“Webex媒体服务的IP子网”一节)和以下AWS区域:us-east-1、us-east-2、eu-central-1、us-gov-west-2、us-west-2。可在此处找到这些AWS区域的IP地址范围:https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

*此网页不会立即更新,因为AWS会定期更改其子网中的IP地址范围。要动态跟踪AWS IP地址范围的变化,Amazon建议订阅以下通知服务: https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html#subscribe-notifications

基于 SIP 的 Webex 服务的媒体对 Webex 媒体使用相同的目标 IP 子网(在此处列出)

协议端口号码指导登录时间意见、评论
TCP   5061、5062   入站   SIP信令   用于 Webex Edge 音频的入站 SIP 信令
TCP   5061、5065   出站   SIP信令   用于 Webex Edge 音频的出站 SIP 信令
TCP/UDP   临时端口
8000 - 59999   
入站   媒体端口   在企业防火墙上,需要打开针孔才能将流量传入 Expressway,并且端口范围介于 8000 - 59999 之间

 

Cisco Webex 视频网

Cisco Webex 视频网在您的网络上提供本地媒体服务。媒体并不会全部传到 Webex Cloud,而是可以留在您的网络上,从而减少互联网带宽用量,并提高媒体质量。有关详细信息,请参阅 Cisco Webex 视频网部署指南

混合日历服务

混合日历服务将 Microsoft Exchange、Office 365 或 Google Calendar 连接到 Webex,从而简化安排和加入会议的操作,尤其是在移动时。

有关详细信息,请参阅:  bex混合日历服务部署指南

混合目录服务

Cisco 目录连接器是一个用于向 Webex 云进行身份同步的本地应用程序。它还提供了一个简单的管理流程,可以自动安全地将企业目录联系人扩展到云并使其保持同步,从而保证准确性和一致性。

有关详细信息,请参阅: Cisco目录连接器部署指南

Webex 混合服务的首选体系结构

Cisco Webex 混合服务的首选架构描述了整体混合体系结构、其组件和总体设计最佳实践。请参阅: Webex混合服务的首选架构

如果您还在部署带有Webex Meetings和消息传递服务的Webex ,可在此处找到Webex 服务的网络要求: https://help.webex.com/b2exve/Port-Reference-Information-for-Cisco-Webex-Calling

如果您还要通过Webex Meetings和消息传递服务部署Webex Events,可在此处找到Webex Events服务的网络要求: https://help.socio.events/en/articles/4796797-what-domains-emails-should-be-allowlisted-by-my-attendees-network-admins

修订日期

新增和更改的信息

10/17/2024
10/21/2024
更新2024年8月19日修订历史。已将(*。webexconnect.com)更改为(*。webexcontent.com)的正确条目
08/19/2024(*。webexcontent.com)域和URL部分包含带有品牌标识的图像
08/02/2024Webex IPv6支持部分-更改文本以强调IPv4和IPv6流量的MTU大小。
07/26/2024在Webex混合服务的其他URL下添加了新的子域*dkr.ecr.us-east-1.amazonaws.com
07/26/2024关于IPv6到Webex服务流量的建议IP包最大可传输单元(MTU)大小的指导
04/08/2024在Cisco Webex Server URL子域下添加了之前(*webex.com和*cisco.com)缺少的时间段
12/06/2023修订了介绍,重点介绍了Webex服务套件
12/06/2023章节的修订:云注册Webex应用程序和设备的传输协议和加密密码。

更新了有关使用中并由Webex Suite服务首选的TLS版本和密码套件的信息

有关媒体传输协议的其他详细信息和指南

Cisco视频设备现在支持通过代理服务器通过TLS发送媒体,与Webex应用程序的行为保持一致。
添加有关代理配置的指南(Webex强烈建议您不要在通过代理/防火墙时更改或删除HTTP标头值,除非允许)
12/06/2023修订Webex媒体服务部分的IP子网

服务不再驻留在AWS中,只驻留在Webex数据中心和Microsoft Azure数据中心(用于VIMT)。
关于媒体传输协议和首选项的补充文本
12/06/2023Webex信令流量和企业代理配置部分

添加代理配置指南(Webex强烈建议您不要在通过代理/防火墙时更改或删除HTTP标头值,除非允许)
12/06/2023Cisco Webex服务URL表:

第1和第2行合并(*。webex.com、*。cisco.com、*。wbx2.com等)
文本将进行修订,以反映Webex套件使用会议和消息传递的通用服务。

*。livestream.webex.com为Webex网络广播添加

关于已弃用的核心Webex服务的部分:文本简化
10/09/2023已包含指向VIMT文档的链接
8/29/2023已删除视频网节点的端口444 TLS(不再使用)。
5/24/2023添加了Webex Events –网络要求
2/23/2023添加了媒体的新IP子网(144.196.0.0/16和163.129.0.0/16)  这些IP子网将在此处发布30天或更长时间后激活。
2/9/2023已重新发布(修复了不可单击的标签页)
1/23/2023已重新发布,删除了重复的子网(66.114.169.0 和 66.163.32.0)
1/11/2023Webex Web 应用程序和 SDK - ,添加了 TLS,在无法使用 UDP 和 TCP 时用作加密的音频、视频和内容共享的回退传输协议
1/11/2023添加了媒体的新 IP 子网:4.152.214.0/24、4.158.208.0/24、4.175.120.0/24(适用于 VIMT 的 Azure 数据中心)
10/14/2022添加了新的 Slido URL:*.slido-assets-production.s3.eu-west-1.amazonaws.com
9/15/2022添加了媒体的新IP子网:20.120.238.0/23(用于VIMT的Azure数据中心)
9/12/2022添加了 Webex Scheduler for Microsoft Outlook 的 URL。
8/12/2022在“端口号和协议”部分中新增了说明。RoomOS 设备不会将通过 TLS 传输的媒体发送到配置的代理服务器。
8/12/2022Webex 媒体的 IP 子网 - AWS IP 子网 18.230.160.0/25 已从 IP 子网表中删除。这些媒体节点现在使用表中已列出的子网中 Cisco 拥有的 IP 地址。
8/12/2022添加了说明,强调对于“Webex 服务的域和 URL”部分下列出的 URL,需要有权访问所有域和子域。
6//25/2022添加了 Google 和 Apple 通知服务的要求
6/25/2022新的 Webex URL *.webexapis.com 已添加到域和 URL 表
6/22/2022为使用 Cisco Unified CM 的 SIP 部署新增了额外指南
4/5/2022删除了媒体服务的 AWS IP 子网 - 这些子网已过时
12/14/2021为视频网节点新增媒体UDP端口范围(50,000 – 53,000)
针对通过TCP的媒体删除端口9000-将于2022年1月弃用此目标端口用于通过TCP的媒体。
针对通过UDP的媒体删除端口33434并删除TCP-将于2022年1月弃用通过UDP和TCP的媒体使用目标端口
11/11/2021更新了 Webex 服务 - 端口号和协议及 Cisco Webex 服务 URL 表。
10/27/2021在域表格中添加了 *.walkme.com 和 s3.walkmeusercontent.com。
10/26/2021为 Windows 操作系统添加了“关于代理的指南”设置
10/20/2021将 CDN URL 添加到防火墙中的域允许列表
10/19/2021Webex 应用程序使用 AES-256-GCM 或 AES-128-GCM 加密所有 Webex Meeting 类型的内容。
10/18/2021添加了新的 IP 子网(20.57.87.0/24*、20.76.127.0/24* 和 20.108.99.0/24*),它们用于托管 Microsoft Teams 视频集成(也称为 Microsoft Cloud Video Interop)服务以及我们为 Webex 服务使用的内容分发网络添加的域(*.cloudfront.net、*.akamaiedge.net、*.akamai.net 和 *.fastly.net)
10/11/2021更新了域和 URL 部分中的信任门户链接。
10/04/2021从域表中移除 *.walkme.com 和 s3.walkmeusercontent.com,因为不再需要它们。
07/30/2021更新了“代理功能”部分中的注释
07/13/2021更新了“代理功能”部分中的注释
07/02/2021将 *.s3.amazonaws.com 改为 *s3.amazonaws.com
06/30/2021更新了“Webex 混合服务的其他 URL”列表。
06/25/2021将 *.appdynamics.com 域添加到列表中
06/21/2021将 *.lencr.org 域添加到列表中。
06/17/2021更新了“Webex SIP 服务的端口和协议”表
06/14/2021更新了“Webex SIP 服务的端口和协议”表
05/27/2021更新了“Webex 混合服务的其他 URL”部分中的表格。
04/28/2021添加了用于 SlidoPPT 加载项的域,允许Slido网页创建会议前投票/测验
04/27/2021添加了用于 Webex Edge 音频的 23.89.0.0/16 IP 范围
04/26/2021添加了 20.68.154.0/24*,因为它是 Azure 子网
04/21/2021更新了 Webex 混合服务的其他 URL 下的 Webex 服务 CSV 文件
04/19/2021添加了 20.53.87.0/24*,因为它是用于 VIMT/CVI 的 Azure DC
04/15/2021在 Webex Events 网络广播中增加了 *.vbrickrev.com 域。
03/30/2021重大文档版式修订。
03/30/2021增加了 Webex 基于 Web 应用程序和 Webex SDK 媒体支持的详细信息(不包括通过 TLS 传输的媒体)。
03/29/2021列明了 Webex Edge for Devices 功能并随附文档链接。
03/15/2021添加了域 *.identrust.com
02/19/2021为 FedRAMP 客户添加了 Webex 服务部分
01/27/2021*为云连接 UC 服务增加了 .cisco.com 域,以及由 * 指示的 Microsoft Teams 视频集成(即 Microsoft Cloud Video Interop)的 Webex Calling 载入 IP 子网
01/05/2021描述 Webex 应用程序会议和消息传递服务的网络要求的新文档
11/13/20从媒体表的 IP 子网中删除了 https://155.190.254.0/23 子网
10/7/2020从“Webex Teams 混合服务的其他 URL”中删除了 *.cloudfront.net 行
9/29/2020为 Webex Teams 媒体服务增加了新 IP 子网 (20.53.87.0/24)
9/29/2020Webex 设备重命名为 Webex Room 设备
9/29/2020*。core-os.net URL已从表格中删除:用于 Webex Teams 混合服务的其他 URL
9/7/2020更新了 AWS 区域链接
08/25/20简化了媒体的 Webex Teams IP 子网的表和文本
8/10/20增加了关于通过 Webex Edge Connect 测试媒体节点可达性以及 Cisco IP 子网使用情况的其他详细信息
7/31/20为 AWS 和 Azure 数据中心中的媒体服务增加了新的 IP 子网
7/31/20针对到 Webex Teams 云的 SIP 呼叫增加了新的 UDP 目标媒体端口
7/27/20增加 170.72.0.0/16 (CIDR) 或 170.72.0.0 - 170.72.255.255(网段)
5/5/20在第三方域表中增加了 sparkpostmail.com
4/22/20增加新的 IP 范围 150.253.128.0/17
03/13/20为walkme.com服务添加了新的URL
添加了用于Room OS设备的TLS媒体传输
添加了新部分:为Webex 网络要求文档添加了混合呼叫SIP信令的网络要求
12/11/19微小文本更改、更新 Webex Teams 应用程序和设备 - 端口号和协议表、更新 Webex Teams URL 表并重新设置其格式。删除对管理连接器和呼叫连接器混合服务的 NTLM 代理验证支持
10/14/19增加了对 Room 设备的 TLS 检查支持
9/16/2019增加了使用 TCP 作为传输协议的 DNS 系统的 TCP 支持要求。
增加了 URL *.walkme.com – 此服务为新用户提供加入和使用教程。
修正了 Web Assistant 所使用的服务 URL。
8/28/2019*。sparkpostmail1.com URL添加了
通讯、注册信息、公告的电子邮件服务
8/20/2019增加了视频网格节点和混合数据安全服务的代理支持功能
8/15/2019用于Webex Teams Service的Cisco和AWS数据中心概述。
*。webexcontent.com URL已添加用于文件存储的文件
关于弃用clouddrive.com的文件存储的说明
*。walkme.com URL已添加用于指标和测试
7/12/2019*。activate.cisco.com和*。webapps.cisco.com URL已添加
文本至语音URL更新为*。speech-googleapis.wbx2.com和
*。texttospeech-googleapis.wbx2.com
*。quay.io URL已删除
混合服务容器URL更新为*。amazonaws.com
6/27/2019增加了 People Insights 功能的 *.accompany.com 允许列表要求
4/25/2019为有关 TLS 版本支持的行增加了“Webex Teams 服务”。
为媒体流量下的“媒体流”行增加了“Webex Teams”。
在媒体部分的 Webex Teams IP 子网区域之前添加了“地理”二字。
对用词略作了编辑。
通过更新 A/B 测试和指标的 URL 以及在 Google Speech 服务中增加新行,对“Webex Teams URL”表进行了编辑。
在“用于 Webex Teams 混合服务的其他 URL”部分中,删除了 AsyncOS 之后的版本信息“10.1”。
更新了“代理验证支持”部分中的文本。
 
3/26/2019将此处链接的“请参阅WSA Webex Teams配置文档以获取指导”的URL https://www.cisco.com/c/dam/en/us/products/collateral/security/web-security-appliance/guide-c07-739977.pdf 更改为“https://www.cisco.com/c/en/us/td/docs/security/wsa/wsa11-5/user_guide/b_WSA_UserGuide_11_5_1.html

将URL “api.giphy.com”更改为*。giphy.com
2/21/2019应 John Costello 的要求,已将“Webex Calling”更新为“Webex Calling(之前称为 Spark Calling)”,这是因为即将通过 BroadCloud 发布同名产品 Webex Calling。
2/6/2019已将文本“混合媒体节点”更新为“Webex 视频网格节点”
1/11/2019已将文本“上传到 Webex Teams 空间和 Avatar 存储的端到端加密文件”更新为“上传到 Webex Teams 空间、Avatar 存储、Webex Teams 品牌徽标的端到端加密文件”
1/9/2019已更新以删除以下行:“*为了让 Webex Room 设备获取验证通过 TLS 检查代理的通信所必需的 CA 证书,请联系您的 CSM 或向 Cisco TAC 提交支持申请。”
2018 年 12 月 5 日更新了 URL:从 Webex Teams URL 表的 4 个条目中删除了“https://”:

https://api.giphy.com              -> api.giphy.com 
https://safebrowsing.googleapis.com       -> safe 。googleapis.com
http://www.msftncsi.com/ncsi.txt         -> msftncsi.com/ncsi.txt
https://captive.apple.com/hotspot-detect.html  -> cap 。apple.com/hotspot- 。html
  • 更新了 Webex Teams 链接的 .CSV 文件,以显示上述修订后的链接
2018 年 11 月 30 日新的URL:
*。ciscosparkcontent.com、*。 101.ord1.clouddrive.com、*。 101.dfw1.clouddrive.com、*。 101.iad3.clouddrive.com、https://api.giphy.com, https://safebrowsing.googleapis.com, http://www.msftncsi.com/ncsi.txt, https://captive.apple.com/hotspot-detect.html, *。 。com、*。 。io、*。amplitude.com、*。eum-appdynamics.com、*。docker.io、*。core-os.net、*。s3.amazonaws.com、*。 。api.rackspacec 。com
对用于 Windows、iOS 和 Android 系统的其他代理验证方法的支持
Webex Board 采用了 Room 设备的操作系统和功能;以下 Room 设备都可以使用代理功能:SX、DX、MX、Room Kit 系列和 Webex Board
iOS 和 Android 应用程序对 TLS 检查的支持
删除了 Room 设备上对 TLS 检查的支持:SX、DX、MX、Room Kit 系列和 Webex Board
Webex Board 采用了 Room 设备的操作系统和功能;支持 802.1X
2018 年 11 月 21 日在媒体部分的IP子网中添加以下注意事项:上述云媒体资源的IP范围列表并非详尽无遗,Webex Teams可能还使用了未包含在上述列表中的其他IP范围。但是,Webex Teams 应用程序和设备将能够正常运行,但无法连接到未列出的媒体 IP 地址。
2018 年 10 月 19 日添加了备注:Webex Teams使用第三方进行诊断和故障排除数据收集,以及崩溃和使用情况指标的收集。Webex 隐私数据手册中介绍了可能发送给这些第三方网站的数据。有关详细信息,请参阅: https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-webex-privacy-data-sheet.pdf
独立表格 - 用于混合服务的其他 URL:*.cloudfront.net、*.docker.com、*.quay.io、*.cloudconnector.cisco.com、*.clouddrive.com
2018 年 8 月 7 日在“端口和协议”表中添加说明:如果在视频网节点的OVA中配置本地NTP和DNS服务器,则无需通过防火墙打开端口53和123。
2018 年 5 月 7 日重大文档修订
2022 年 4 月 24 日更新了以更改 Webex 媒体服务的 IP 子网部分中的段落顺序。以“如果您已配置防火墙…”开头的段落被移至以“Cisco不支持…”开头的段落下方 

这篇文章对您有帮助吗?
这篇文章对您有帮助吗?