本文适用于组织内使用Webex Calling服务的网络管理员,尤其是防火墙和代理安全管理员。 它描述了网络要求,并列出了用于连接电话、Webex 应用程序和Webex Calling服务的网关的地址、端口和协议。
正确配置的防火墙和代理对于成功的呼叫部署至关重要。 Webex Calling使用 SIP 和 HTTPS 进行呼叫信令,使用关联的地址和端口进行媒体、网络连接和网关连接Webex Calling是一项全球服务。
并非所有防火墙配置都需要打开端口。 但是,如果您运行由内到外的规则,则必须为所需协议打开端口以释放服务。
网络地址转换 (NAT)
网络地址转换或端口地址转换功能应用于两个网络之间的边界,以转换地址空间,或防止IP 地址空间发生冲突。
如果部署 NAT,则不必在防火墙上打开入站端口。
定义合理的绑定周期,避免在 NAT 设备上操纵 SIP。
配置最小 NAT 超时时间以确保设备正常运行。 例如: Cisco电话每隔 1-2 分钟发送一次后续 REGISTER 刷新消息。
如果您的网络实施了 NAT 或 SPI,则为连接设置更大的超时时间(至少 30 分钟)。 此超时时间可实现可靠连接,同时减少用户移动设备的电池消耗。
SIP 应用程序层网关
如果路由器或防火墙支持 SIP,即启用了 SIP 应用层网关 (ALG) 或类似功能,我们建议您关闭此功能以保持服务的正确运行。
查看相关制造商的文档,了解在特定设备上禁用 SIP ALG 的步骤。
代理支持Webex Calling
组织部署互联网防火墙或互联网代理和防火墙,以检查、限制和控制进出其网络的 HTTP 流量。 从而保护其网络免受各种形式的网络攻击。
代理执行多项安全功能,例如:
允许或阻止访问特定 URL。
用户身份验证
IP 地址/域/主机名/URI 信誉查找
流量解密和检查
在配置代理功能时,它将应用于所有使用 HTTP 协议的应用程序。
应用程序包括:
Webex 服务
使用思科云设置平台(例如 GDS)的客户设备激活 (CDA) 程序、EDOS 设备激活、设置和 Webex 云载入。
证书验证
固件升级
状态报告
PRT 上传
XSI 服务
 |
如果配置了代理服务器地址,则仅将信令流量 (HTTP/HTTPS) 发送到代理服务器。 使用 SIP 注册到Webex Calling服务和关联媒体的客户端不会发送到代理。 因此,允许这些客户端直接通过防火墙。 |
支持的代理选项、配置和身份验证类型
支持的代理类型包括:
显式代理(检查或非检查)- 为客户端(应用程序或设备)配置具有显式代理的客户端,以指定要使用的服务器。 此选项支持以下验证类型之一:
透明代理(非检查)- 客户端未配置为使用特定代理服务器地址,无需任何更改即可与非检查代理配合使用。
透明代理(检查)— 客户端未配置为使用特定代理服务器地址。 无需更改 HTTP 的配置;但是,应用程序或设备客户端需要根证书,以便它们信任代理。 IT 团队使用检查代理对要访问的网站和不允许访问的内容类型强制执行策略。
使用以下方法为 Webex Room 设备、 Cisco IP 多平台电话 (MPP) 和 Webex 应用程序手动配置代理地址:
平台操作系统
设备用户界面
自动发现
配置时,从以下代理配置和身份验证类型中进行选择:
产品 |
代理配置 |
验证类型 |
|---|---|---|
Mac 版 Webex |
手动、WPAD、PAC |
无身份验证, 基本, NTLM, † |
Windows 版 Webex |
手动、WPAD、PAC、GPO |
无身份验证, 基本, NTLM, † ,协商 |
iOS 版 Webex |
手动、WPAD、PAC |
不验证、基本、摘要、NTLM |
Android 版 Webex |
手动、PAC |
不验证、基本、摘要、NTLM |
Webex Web 应用程序 |
通过操作系统支持 |
不验证、基本、摘要、NTLM、协商 |
Webex Room 设备 |
WPAD、PAC 或手动 |
不验证、基本、摘要 |
Cisco IP 电话 |
手动、WPAD、PAC |
不验证、基本、摘要 |
Webex 视频网格节点 |
手动 |
不验证、基本、摘要、NTLM |
对于表中的图例:
† Mac NTLM 验证 - 机器无需登录到域,系统会提示用户输入密码
† Windows NTLM 身份验证 - 仅在计算机登录到域后才受支持
Web 代理自动发现 (WPAD) - 请参阅Web 代理自动发现协议了解详情。
代理自动配置 (PAC) 文件 - 请参阅代理自动配置文件了解详情。
要将Cisco Webex Board、Desk 或 Room 系列设备连接到代理服务器,请参阅将 Board、Desk 或 Room 系列设备连接到代理服务器。
有关Cisco IP 电话,请参阅设置代理服务器作为配置代理服务器和设置的示例。
|
适用于 |
Windows 操作系统的代理设置
Microsoft Windows支持两个允许代理配置的 HTTP 流量网络库(WinINet 和 WinHTTP)。WinINet 是 WinHTTP 的超集。
WinInet 专为单用户桌面客户端应用程序而设计
WinHTTP 主要专为基于服务器的多用户应用程序而设计
在两者之间进行选择时,为您的代理配置设置选择 WinINet。 有关详细信息,请参阅wininet-vs-winhttp 。
请参阅配置允许在公司网络上访问 Webex 的域列表有关以下内容的详细信息:
确保人们仅使用预定义的域列表中的帐户登录应用程序。
使用代理服务器来拦截请求并限制允许的域。
代理检查和证书置顶
Webex 应用程序和设备在建立 TLS 会话时验证服务器的证书。 证书检查(例如证书颁发者和数字签名)依赖于验证证书链(直至根证书)。 为了执行验证检查,Webex 应用程序和设备使用操作系统信任存储区中安装的一组受信任的根 CA 证书。
如果您已部署 TLS 检查代理来拦截、解密和检查Webex Calling流量。 确保代理提供的证书(代替Webex 服务证书)由证书颁发机构签名,并且根证书已安装在 Webex 应用程序或 Webex 设备的信任存储区中。
对于 Webex 应用程序 - 在设备的操作系统中安装用于通过代理签署证书的CA 证书。
对于 Webex Room 设备和Cisco多平台 IP 电话 - 向 TAC 团队提出服务请求,以安装CA 证书。
此表显示支持通过代理服务器进行 TLS 检查的 Webex 应用程序和 Webex 设备
产品 |
支持自定义受信任 CA 以进行 TLS 检查 |
|---|---|
Webex 应用程序 (Windows、Mac、iOS、Android、Web) |
有 |
Webex Room 设备 |
有 |
Cisco IP 多平台 (MPP) 电话 |
有 |
防火墙配置
Cisco支持Webex Calling和 Webex Aware 服务,部署在安全的Cisco和 Amazon Web Services (AWS) 数据中心内。 Amazon 已保留其 IP 子网仅供 Cisco 使用,并在 AWS 虚拟私有云中保护这些子网中的服务。
配置防火墙以允许来自您的设备、应用程序和面向互联网的服务的通信,以正常执行其功能。 此配置允许访问所有受支持的Webex Calling和 Webex Aware 云服务、域名、IP 地址、端口和协议。
将以下内容加入白名单或开放访问权限,以便Webex Calling和 Webex Aware 服务正常工作。
部分中提及的 URL/域Webex Calling服务的域和 URL
部分中提及的 IP 子网、端口和协议Webex Calling服务的 IP 子网
如果您使用的是 Webex 会议、消息传递及其他服务,请确保同时打开本文中提到的域/URL Webex 服务的网络要求
如果您只使用防火墙,则过滤Webex Calling不支持单独使用 IP 地址的流量,因为IP 地址池是动态的,可能随时更改。 定期更新规则,未能更新防火墙规则列表可能会影响用户的体验。 Cisco不支持基于特定地理区域或云服务提供商过滤 IP 地址子集。 按区域过滤可能会导致呼叫体验严重下降。
如果您的防火墙不支持域/URL 过滤,请使用企业代理服务器选项。 此选项按 URL/域过滤/允许将 HTTPS 信令流量发送到Webex Calling和 Webex Aware 服务,然后转发到防火墙。
对于Webex Calling ,UDP 是 Cisco 首选的媒体传输协议,建议仅使用 SRTP over UDP。 TCP 和 TLS 作为媒体传输协议不受支持: Webex Calling在生产环境中。 这是因为这些协议面向连接的性质会影响有损网络上的媒体质量。 如果您对传输协议有疑问,请提交支持申请单。
Webex Calling 服务的域和 URL
URL(例如,*.webex.com)开头的 * 表示可访问顶级域和所有子域中的服务。
域/URL |
描述 |
使用这些域/URL 的 Webex 应用程序和设备 |
||
|---|---|---|---|---|
Cisco Webex 服务 |
||||
*.broadcloudpbx.com |
Webex Control Hub 到呼叫管理门户交叉启动的授权微服务。 |
Control Hub |
||
*.broadcloud.com.au |
Webex Calling 服务(澳大利亚)。 |
所有 |
||
*.broadcloud.eu |
Webex Calling 服务(欧洲)。 |
所有 |
||
*.broadcloudpbx.net |
呼叫客户端配置和管理服务。 |
Webex 应用程序 |
||
*.webex.com *.cisco.com |
核心Webex Calling和 Webex Aware 服务 身份预配置 身份存储 身份验证 OAuth 服务 设备载入 云连接 UC 当电话首次连接到网络时或在未设置 DHCP 选项的情况下恢复恢复出厂设置设置后,它将联系设备激活服务器以进行零接触设置。 新电话使用 activate.cisco.com 以及固件版本低于 11.2(1) 的电话,继续使用 webapps.cisco.com 进行设置。 下载设备固件和区域设置更新: binaries.webex.com 。 |
所有 |
||
*.ucmgmt.cisco.com |
Webex Calling 服务 |
Control Hub |
||
*.wbx2.com 和 *.ciscospark.com |
用于云认知、CSDM、WDM、mercury 等。 这些服务是应用程序和设备在载入期间和之后访问Webex Calling和 Webex 认知服务所必需的。 |
所有 |
||
*.webexapis.com |
用于管理应用程序和设备的 Webex 微服务。 档案照片服务 白板服务 近接服务 在线状态服务 注册服务 日历服务 搜索服务 |
所有 |
||
*.webexcontent.com |
与常规文件存储相关的 Webex Messaging 服务,包括: 用户文件 已转码的文件 图像 屏幕截图 白板内容 客户端和设备日志 档案照片 品牌徽标 日志文件 批量 CSV 导出和导入文件 (Control Hub) |
Webex 应用程序消息传递服务。
|
||
*.accompany.com |
人员洞察集成 |
Webex 应用程序 |
||
其他 Webex 相关服务(第三方域) |
||||
*.appdynamics.com *.eum-appdynamics.com |
性能跟踪、错误和崩溃捕获、会话指标。 |
Control Hub |
||
*.huron-dev.com |
Webex Calling 微服务(如:切换服务、电话号码订购和分配服务)。 |
Control Hub |
||
*.sipflash.com |
设备管理服务。 固件升级和安全载入目的。 |
Webex 应用程序 |
||
*.walkme.com *.walkmeusercontent.com |
Webex 用户指南客户端。 为新用户提供加入和使用教程。 有关 WalkMe 的更多信息,请单击此处。 |
Webex 应用程序 |
||
*.google.com *.googleapis.com |
向移动设备上的 Webex 应用程序发送通知(示例: 新消息,当应答呼叫时) 对于 IP 子网,请参阅以下链接 Google Firebase 云消息传递 (FCM) 服务
|
Webex 应用程序 | ||
Webex Calling 服务的 IP 子网
Webex Calling服务的 IP 子网* † |
||
|---|---|---|
23.89.0.0/16 |
85.119.56.0/23 |
128.177.14.0/24 |
128.177.36.0/24 |
135.84.168.0/21 |
139.177.64.0/21 |
139.177.72.0/23 |
150.253.209.128/25 |
170.72.0.0/16 |
170.133.128.0/18 |
185.115.196.0/22 |
199.59.64.0/21 |
199.19.196.0/23 |
199.19.199.0/24 |
|
连接目的 |
源地址 |
源端口 |
协议 |
目的地地址 |
目的地端口 |
笔记 |
|
|---|---|---|---|---|---|---|---|
到 Webex Calling 的呼叫信令 (SIP TLS) |
本地网关外部 (NIC) |
8000-65535 |
TCP |
请参阅 Webex Calling 服务的 IP 子网。 |
5062, 8934 |
从本地网关、设备和应用程序(源)到云(目标)的出站 SIP-TLS 呼叫信号需要这些 IP/端口Webex Calling IP/端口。 端口 5062(基于证书的干线必需)。 和端口 8934(基于注册的干线必需 |
|
设备 |
5060-5080 |
8934 |
|||||
应用程序 |
临时(依赖于操作系统) |
||||||
呼叫媒体到 Webex Calling (STUN、SRTP) |
本地网关外部 NIC | 8000-48198 † * |
UDP |
请参阅 Webex Calling 服务的 IP 子网。 |
5004、9000(STUN 端口) 19560-65535(基于 UDP 的 SRTP) |
|
|
设备 |
19560-19660 |
||||||
应用程序 |
8500-8700 |
||||||
| 到 PSTN 网关的呼叫信令 (SIP TLS) | 本地网关内部 NIC | 8000-65535 | TCP |
您的 ITSP PSTN GW 或 Unified CM | 取决于 PSTN 选项(例如,对于 Unified CM,通常为 5060 或 5061) | ||
| 到 PSTN 网关的呼叫媒体 (SRTP) | 本地网关内部 NIC | 8000-48198 † * |
UDP |
您的 ITSP PSTN GW 或 Unified CM | 取决于 PSTN 选项(例如,对于 Unified CM,通常为 5060 或 5061) | ||
设备配置和固件管理(Cisco 设备) |
Webex Calling 设备 |
临时 |
TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 |
443, 6970 |
必需,原因如下:
|
|
应用程序配置 |
Webex Calling 应用程序 |
临时 |
TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 |
443, 8443 |
用于 Idbroker 验证、客户端的应用程序配置服务、用于自助服务的基于浏览器的Web 访问以及管理界面访问。 |
|
设备时间同步 (NTP) |
Webex Calling 设备 |
51494 |
UDP |
请参阅 Webex Calling 服务的 IP 子网。 |
123 |
需要这些 IP 地址才能实现设备(MPP 电话、ATA 和 SPA ATA)的时间同步 |
|
设备名称解析和应用程序名称解析 |
Webex Calling 设备 |
临时 |
UDP 和 TCP |
主机定义 |
53 |
用于 DNS 查询,以发现云中Webex Calling服务的 IP 地址。 尽管典型的 DNS 查找是通过 UDP 完成的,但如果查询响应不能放入 UDP 数据包中,某些 DNS 查找可能需要 TCP。 |
|
应用程序时间同步 |
Webex Calling 应用程序 |
123 |
UDP |
主机定义 |
123 |
||
基于 Web 的网络就绪情况资格预审工具Webex Calling |
临时 |
TCP |
请参阅 Webex Calling 服务的 IP 子网。 |
8934 和 443 |
用于Webex Calling的基于 Web 的网络准备就绪资格预审工具。 有关更多信息,请参阅 cscan.webex.com。 |
||
UDP |
19569-19760 |
||||||
其他Webex Calling和 Webex 认知服务(第三方) |
|||||||
推送通知 APNS 和 FCM 服务 |
Webex Calling 应用程序 |
临时 |
TCP |
请参阅链接下提到的 IP 子网 |
443, 2197, 5228, 5229, 5230, 5223 |
向移动设备上的 Webex 应用程序发送通知(示例: 当您收到新留言或当呼叫被应答时) |
|
|
|
Webex Meetings/Messaging - 网络要求
MPP 设备现已加入Webex Cloud,提供呼叫历史记录、目录搜索和会议等服务。 有关这些 Webex 服务的网络要求,请参阅Webex 服务的网络要求。 如果您从 Webex 应用程序使用会议、消息传递及其他服务,则确保本文中提到的域/URL/地址已打开。
参考
要了解Webex Calling中的新增功能,请参阅Webex Calling中的新增功能
有关Webex Calling的安全性要求,请参阅文章
使用交互式连接建立 (ICE) 进行Webex Calling媒体优化文章
文档修订历史记录
日期 |
我们对此文章进行了以下更改 |
|---|---|
2023 年 7 月 5 日 |
添加了链接https://binaries.webex.com以安装Cisco MPP 固件。 |
2023 年 3 月 5 日 |
更新文章以包含以下内容:
|
2023 年 3 月 7 日 |
我们对整篇文章进行了全面检查,在其中包括:
|
2022 年 11 月 15 日 |
我们为设备配置和固件管理(Cisco 设备)添加了以下 IP 地址:
我们已从设备配置和固件管理(Cisco 设备)中删除了以下 IP 地址:
|
2022 年 11 月 14 日 |
为Webex Calling服务添加了IP 子网170.72.242.0/24。 |
2022 年 9 月 8 日 |
Cisco MPP 固件转换为使用https://binaries.webex.com作为所有地区 MPP 固件升级的主机 URL。 此更改改进了固件升级性能。 |
2022 年 8 月 30 日 |
删除了“设备配置和固件管理(Cisco 设备)、应用程序配置和 CScan 行”中对端口 80 的引用,因为没有任何依赖。 |
2022 年 8 月 18 日 |
解决方案没有变化。 将呼叫信号的目标端口 5062(基于证书的中继需要)和 8934(基于注册的中继的必需)更新为 Webex Calling (SIP TLS)。 |
2022 年 7 月 26 日 |
添加了 54.68.1.225 IP 地址,这是 Cisco 840/860 设备的固件升级所需的 IP 地址。 |
2022 年 7 月 21 日 |
将呼叫信号的目标端口 5062、8934 更新Webex Calling (SIP TLS)。 |
2022 年 7 月 14 日 |
添加了支持 Webex Aware 服务完整功能的 URL。 为Webex Calling服务添加了IP 子网23.89.154.0/25。 |
2022 年 6 月 27 日 |
更新了服务域和 url Webex Calling URL: *.broadcloudpbx.com *.broadcloud.com.au *.broadcloud.eu *.broadcloudpbx.net |
2022 年 6 月 15 日 |
在服务 IP 地址和 端口下添加了下列Webex Calling和协议:
更新了 Webex Meetings /消息传递 - 网络要求部分 的信息 |
2022 年 5 月 24 日 |
为服务添加 IP 子网 52.26.82.54/24 至 52.26.82.54/32 Webex Calling服务 |
2022 年 5 月 6 日 |
添加了服务 52.26.82.54/24 的 IP Webex Calling子网 |
2022 年 4 月 7 日 |
将本地网关内部和外部 UDP 端口范围更新为 8000-48198† |
2022 年 4 月 5 日 |
添加了以下 IP 子网Webex Calling服务:
|
2022 年 3 月 29 日 |
添加了以下 IP 子网Webex Calling服务:
|
2021 年 9 月 20 日 |
新增 4 个 IP 子网用于 Webex Calling 服务:
|
2021 年 4 月 2 日 |
Webex Calling 服务的域和 URL 下已添加 *.ciscospark.com,可支持 Webex 应用程序中的 Webex Calling 用例。 |
2021 年 3 月 25 日 |
已为 activate.cisco.com 新增 6 个 IP 范围,将于 2021 年 5 月 8 日起生效。
|
2021 年 3 月 4 日 |
已使用独立表格中的简化范围替换 Webex Calling 分散式 IP 和范围较小的 IP,以便于了解防火墙配置。 |
2021 年 2 月 26 日 |
将 5004 作为呼叫媒体的目标端口添加到 Webex Calling(STUN、SRTP)来支持将在 2021 年 4 月提供的交互式连接增强器 (Webex Calling ICE)。 |
2021 年 2 月 22 日 |
域和 URL 现已列在独立表格中。 IP 地址和端口表被调整为相同服务的组 IP 地址。 将注释列添加到 IP 地址和端口表中以帮助理解要求。 将以下 IP 地址移至简化范围以进行设备配置和固件管理(Cisco设备):
为应用程序配置添加以下 IP 地址,因为Cisco Webex客户端指向 2021 年 3 月澳大利亚的更新DNS SRV 。
|
2021 年 1 月 21 日 |
我们在设备配置和固件管理(Cisco 设备)中添加了以下 IP 地址:
我们已从设备配置和固件管理(Cisco 设备)中删除了以下 IP 地址:
我们在应用程序配置中添加了以下 IP 地址:
我们已从应用程序配置中删除了以下 IP 地址:
我们已从应用程序配置中删除了以下端口号:
我们在应用程序配置中添加了以下域:
|
2020 年 12 月 23 日 |
在端口引用图像中添加了新的应用程序配置 IP 地址。 |
2020 年 12 月 22 日 |
更新了表格中的应用程序配置行以包含以下 IP 地址: 135.84.171.154 和 135.84.172.154。 隐藏网络图,直至添加这些 IP 地址。 |
2020 年 12 月 11 日 |
更新了受支持的加拿大区域的设备配置和固件管理(Cisco 设备)和应用程序配置行。 |
2020 年 10 月 16 日 |
用以下 IP 地址更新了呼叫信令和媒体条目:
|
2020 年 9 月 23 日 |
在 CScan 下,将 199.59.64.156 替换为 199.59.64.197。 |
2020 年 8 月 14 日 |
添加了更多 IP 地址以支持加拿大的数据中心采用: 到 Webex Calling 的呼叫信令(SIP TLS)—135.84.173.0/25、135.84.174.0/25、199.19.197.0/24、199.19.199.0/24 |
2020 年 8 月 12 日 |
添加了更多 IP 地址以支持加拿大的数据中心采用:
|
2020 年 7 月 22 日 |
添加了以下 IP 地址以支持加拿大的数据中心采用: 135.84.173.146 |
2020 年 6 月 9 日 |
我们对 CScan 条目进行了以下更改:
|
2020 年 3 月 11 日 |
我们将以下域和 IP 地址添加到应用程序配置中:
我们更新了以下域,将额外 IP 地址用于设备配置和固件管理:
|
2020 年 2 月 27 日 |
我们将以下域和端口添加到设备配置和固件管理: cloudupgrader.webex.com—443, 6970 |
