正确配置的防火墙对于成功的呼叫部署至关重要。 我们要求使用用于信令、媒体、网络连接和本地网关的端口,由于 Webex Calling 是全局服务,我们建议您将下面列出的所有端口保持打开状态。

并非所有防火墙配置都需要打开端口,但是如果您运行的是从内到外规则,则应该打开端口以允许出向服务所需的协议。 只要部署 NAT,定义合理的绑定期限,并避免在 NAT 设备上操作 SIP,您应该就不需要在防火墙上打开入站端口。


如果路由器或防火墙可感知 SIP,意味着它已启用 SIP 应用程序层网关 (ALG) 或类似功能,那么我们建议您关闭此功能以维护正确的服务运行。 有关如何在特定设备上禁用 SIP ALG 的信息,请参阅相关制造商的文档。

有关 Webex Meetings 和 Messaging 网络要求的详细信息,请参阅 Webex 服务的网络要求

通过防火墙的 Webex Calling 流量

大多数客户部署互联网防火墙或互联网代理和防火墙,以限制和控制离开和进入其网络的 HTTP 流量。 Webex Calling 终端不支持 http(s) 代理,但软客户端除外,软客户端支持以下代理环境和相应验证方法:

  1. 手动代理配置

    • 无验证

    • 基本

    • NTLM

    • 协商

  2. WPAD 代理配置

    • 无验证

    • 基本

  3. PAC 代理配置

    • 无验证

    • 基本

    • NTLM

    • 协商

按照下面的防火墙指南,启用从您的网络访问 Webex Calling 服务。

防火墙配置

如果防火墙支持 URL 筛选,请将防火墙配置为允许列出 Webex Calling 目标 URL,即如 Webex Calling 服务的域和 URL 表中所示。

但是,如果使用的防火墙不支持 URL/域过滤,请将防火墙配置为使用 Webex Calling 服务的 IP 地址和端口中所列示的 IP 地址范围和端口过滤流量。

Webex Calling 服务的 IP 地址和端口

下表描述了为支持云注册的 Webex 应用程序和设备与 Webex Calling 云信令和媒体服务进行通信,需要在防火墙中打开的端口和协议。

Webex Calling 服务的 IP 子网

85.119.56.0/23

128.177.14.0/24

128.177.36.0/24

135.84.168.0/21

139.177.64.0/21

139.177.72.0/23

185.115.196.0/22

199.19.196.0/23

199.19.199.0/24

199.59.64.0/21

23.89.76.128/25

170.72.29.0/24

170.72.17.128/25

170.72.0.128/25

170.72.82.0/25

连接目的

源地址

源端口

协议

目的地地址

目的地端口

说明

Webex Calling 的呼叫信令 (SIP TLS)

本地网关外部 (NIC) 8000-65535

TCP

请参阅 Webex Calling 服务的 IP 子网

8934

从本地网关、设备和应用程序(源)到 Webex Calling Cloud(目标)的出站 SIP-TLS 呼叫信令需要使用上述 IP/端口。

设备

5060-5080

应用程序

临时(依赖于操作系统)

Webex Calling 的呼叫媒体(STUN、SRTP)

本地网关外部 NIC

8000-48000

UDP

请参阅 Webex Calling 服务的 IP 子网

5004,19560-65535

从本地网关、设备和应用程序(源)到 Webex Calling Cloud(目标)的出站 SRTP 呼叫媒体需要使用上述 IP/端口。

设备

19560-19660

应用程序

临时

到 PSTN 网关的呼叫信令 (SIP TLS) 本地网关内部 NIC 8000-65535 TCP 您的 ITSP PSTN GW 或 Unified CM 取决于 PSTN 选项(例如,对于 Unified CM,通常为 5060 或 5061)
到 PSTN 网关的呼叫媒体 (SRTP) 本地网关内部 NIC

8000-48000

UDP 您的 ITSP PSTN GW 或 Unified CM 取决于 PSTN 选项(例如,对于 Unified CM,通常为 5060 或 5061)

到公开寻址终端的呼叫信令 (SIP TLS)

请参阅 Webex Calling 服务的 IP 子网

临时

TCP

终端 IP

8934

从 Webex Calling Cloud(源)到公开地址的终端(目标)的入站 SIP-TLS 呼叫信令需要使用上述 IP/端口。

设备配置和固件管理(Cisco 设备)

Webex Calling 设备

临时

TCP

3.20.185.219

3.130.87.169

3.134.166.179

443,6970

*这些 IP 属于 cloudupgrader.webex.com。

仅当从企业电话 (Cisco Unified CM) 迁移到 Webex Calling 之后才需要启用 cloudupgrader.webex.com 和 443、6970 端口。 有关更多信息,请参阅 upgrade.cisco.com

3.20.118.133

3.20.228.133

3.23.144.213

3.130.125.44

3.132.162.62

3.140.117.199

18.232.241.58

35.168.211.203

50.16.236.139

52.45.157.48

54.145.130.71

54.156.13.25

80,443

*这些 IP 属于 activation.webex.com。

需要这些 IP 才能实现通过 16 位激活码 (GDS) 安全加入设备(MPP 电话)。

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

80,443

这些 IP 属于 activate.cisco.com。

此域用于 CDA/EDOS - 基于 MAC 地址的预配置。 可供固件较新的设备(MPP 电话、ATA 和 SPA ATA)使用。

当电话首次连接到网络或在恢复出厂设置后连接到网络时,如果未设置任何 DHCP 选项,那么将连接设备激活服务器以实现零接触预配置。 新电话使用“activate.cisco.com”而非“webapps.cisco.com”进行预配置。 固件版本低于 11.2(1) 的电话将继续使用“webapps.cisco.com”。 我们建议您允许两个域名都通过防火墙。

72.163.10.128/25

173.37.146.128/25

80,443

这些 IP 属于 webapps.cisco.com。

此域用于 CDA/EDOS - 基于 MAC 地址的预配置。 可供固件较旧的设备(MPP 电话、ATA 和 SPA ATA)使用。

当电话首次连接到网络或在恢复出厂设置后连接到网络时,如果未设置任何 DHCP 选项,那么将连接设备激活服务器以实现零接触预配置。 新电话使用“activate.cisco.com”而非“webapps.cisco.com”进行预配置。 固件版本低于 11.2(1) 的电话将继续使用“webapps.cisco.com”。 我们建议您允许两个域名都通过防火墙。

请参阅 Webex Calling 服务的 IP 子网

80,443

需要这些 IP 才能实现 Webex Calling 的设备配置和固件管理。

设备时间同步 (NTP)

Webex Calling 设备

51494

UDP

请参阅 Webex Calling 服务的 IP 子网

123

需要这些 IP 地址才能实现设备(MPP 电话、ATA 和 SPA ATA)的时间同步

设备名称解析

Webex Calling 设备

临时

UDP 和 TCP

主机定义

53

应用程序配置

Webex Calling 应用程序

临时

TCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

80, 443

这些 IP 属于 Webex Idbroker 验证服务,并可供客户端(即 Webex 应用程序)使用。

请参阅 Webex Calling 服务的 IP 子网

80, 443, 8443

这些 IP 属于 Webex Calling 应用程序配置服务,并可供客户端(即 Webex 应用程序)使用。

应用程序时间同步

Webex Calling 应用程序

123

UDP

主机定义

123

应用程序名称解析

Webex Calling 应用程序

临时

UDP 和 TCP

主机定义

53

CScan

Webex Calling 应用程序

临时

UDP 和 TCP

请参阅 Webex Calling 服务的 IP 子网

8934 和 80、443、19569-19760

这些 IP 可供客户端(即 Webex 应用程序)所用的 CScan 服务使用。 有关更多信息,请参阅 cscan.webex.com

† CUBE 媒体端口范围可配置为 rtp-port range

*这些 IP 地址/范围并非 Cisco 所有,可能会定期更改。 如果您在使用防火墙,我们建议您将 URL 列入白名单。

Webex Calling 服务的域和 URL

域/URL

描述

使用这些域/URL 的 Webex 应用程序和设备

Cisco Webex 服务

*.broadcloudpbx.com

从 Control Hub 交叉启动到呼叫管理门户的 Webex 授权微服务。

Control Hub

*.broadcloud.com.au

Webex Calling 服务(澳大利亚)。

所有

*.broadcloud.eu

Webex Calling 服务(欧洲)。

所有

*.broadcloudpbx.net

呼叫客户端配置和管理服务。

Webex 应用程序

*.cisco.com

当电话首次连接到网络或在恢复出厂设置后连接到网络时,如果未设置任何 DHCP 选项,那么将连接设备激活服务器以实现零接触预配置。 新电话使用 activate.cisco.com,而固件版本低于 11.2(1) 的电话将继续使用 webapps.cisco.com 进行预配置。

MPP 电话,Control Hub

*.ucmgmt.cisco.com

Webex Calling 服务

Control Hub

*.webex.com

用于 Calling、Meeting 和 Messaging(如:验证)的 Webex 核心服务

所有

*.wbx2.com 和 *.ciscospark.com

Webex 微服务(如:软件升级服务)。

所有

其他 Webex 相关服务(第三方域)

*.appdynamics.com

*.eum-appdynamics.com

性能跟踪、错误和崩溃捕获、会话指标。

Control Hub

*.huron-dev.com

Webex Calling 微服务(如:切换服务、电话号码订购和分配服务)。

Control Hub

*.sipflash.com

设备管理服务(主要适用于美国)。

Webex 应用程序

*.walkme.com *.walkmeusercontent.com

Webex 用户指南客户端。 为新用户提供加入和使用教程。

有关 WalkMe 的更多信息,请单击此处

Webex 应用程序

如果网络防火墙支持将 http(s) 流量的域(如:*.webex.com)列入允许名单,那么强烈建议将所有这些域列入允许名单。

Webex Meetings/Messaging - 网络要求

如果部署的是含有 Webex Meetings 和 Messaging 服务的 Webex Calling,那么可以在 Webex 服务的网络要求中查看 Webex Meetings 和 Messaging 服务的网络要求。

文档修订历史记录

日期

我们对本文进行了以下更改

2021 年 9 月 20 日

新增 4 个 IP 子网用于 Webex Calling 服务:

  • 23.89.76.128/25

  • 170.72.29.0/24

  • 170.72.17.128/25

  • 170.72.0.128/25

2021 年 4 月 2 日

Webex Calling 服务的域和 URL 下已添加 *.ciscospark.com,可支持 Webex 应用程序中的 Webex Calling 用例。

2021 年 3 月 25 日

已为 activate.cisco.com 新增 6 个 IP 范围,将于 2021 年 5 月 8 日起生效。

  • 72.163.15.64/26

  • 72.163.15.128/26

  • 173.36.127.0/26

  • 173.36.127.128/26

  • 192.133.220.0/26

  • 192.133.220.64/26

2021 年 3 月 4 日

已使用独立表格中的简化范围替换 Webex Calling 分散式 IP 和范围较小的 IP,以便于了解防火墙配置。

2021 年 2 月 26 日

5004 已作为呼叫媒体的目标端口添加到 Webex Calling(STUN、SRTP)中,以支持将于 2021 年 4 月在 Webex Calling 中提供的交互式连接建立 (ICE)。

2021 年 2 月 22 日

域和 URL 现已列在独立表格中。

“IP 地址和端口”表已调整为将同一服务的 IP 地址归为一组。

“备注”列已添加到“IP 地址和端口”表中,以便于了解需求。

下列 IP 地址已移至简化范围,以便实现设备配置和固件管理(Cisco 设备):

activate.cisco.com

  • 72.163.10.125 -> 72.163.10.96/27

  • 173.37.149.125 -> 173.37.149.96/27

webapps.cisco.com

  • 173.37.146.134 -> 173.37.146.128/25

  • 72.163.10.134 -> 72.163.10.128/25

已为应用程序配置添加下列 IP 地址,因为 Cisco Webex 客户端将于 2021 年 3 月在澳大利亚指向较新的 DNS SRV。

  • 199.59.64.237

  • 199.59.67.237

2021 年 1 月 21 日

我们已向设备配置和固件管理(Cisco 设备)添加下列 IP 地址:

  • 3.134.166.179

  • 50.16.236.139

  • 54.145.130.71

  • 72.163.10.125

  • 72.163.24.0/23

  • 173.37.26.0/23

  • 173.37.146.134

我们已删除设备配置和固件管理(Cisco 设备)中的下列 IP 地址:

  • 35.172.26.181

  • 52.86.172.220

  • 52.203.31.41

我们已向应用程序配置添加下列 IP 地址:

  • 62.109.192.0/19

  • 64.68.96.0/19

  • 207.182.160.0/19

  • 150.253.128.0/17

我们已删除应用程序配置中的下列 IP 地址:

  • 64.68.99.6

  • 64.68.100.6

我们已删除应用程序配置中的下列端口号:

  • 1081, 2208, 5222, 5280-5281, 52644-52645

我们已向应用程序配置添加下列域:

  • idbroker-b-us.webex.com

  • idbroker-eu.webex.com

  • ty6-wxt-jp.bcld.webex.com

  • os1-wxt-jp.bcld.webex.com

2020 年 12 月 23 日

在端口引用图像中添加了新的应用程序配置 IP 地址。

2020 年 12 月 22 日

更新了表格中的应用程序配置行以包含以下 IP 地址: 135.84.171.154 和 135.84.172.154。

隐藏网络图,直到也可以添加这些 IP 地址。

2020 年 12 月 11 日

更新了受支持的加拿大区域的设备配置和固件管理(Cisco 设备)和应用程序配置行。

2020 年 10 月 16 日

用以下 IP 地址更新了呼叫信令和媒体条目:

  • 139.177.64.0/24

  • 139.177.65.0/24

  • 139.177.66.0/24

  • 139.177.67.0/24

  • 139.177.68.0/24

  • 139.177.69.0/24

  • 139.177.70.0/24

  • 139.177.71.0/24

  • 139.177.72.0/24

  • 139.177.73.0/24

2020 年 9 月 23 日

在 CScan 下,将 199.59.64.156 替换为 199.59.64.197。

2020 年 8 月 14 日

添加了更多 IP 地址以支持加拿大的数据中心采用:

到 Webex Calling 的呼叫信令(SIP TLS)—135.84.173.0/25、135.84.174.0/25、199.19.197.0/24、199.19.199.0/24

2020 年 8 月 12 日

添加了更多 IP 地址以支持加拿大的数据中心采用:

  • 到 Webex Calling 的呼叫媒体(SRTP)—135.84.173.0/25、135.84.174.0/25、199.19.197.0/24、199.19.199.0/24

  • 到公开寻址终端的呼叫信令(SIP TLS)—135.84.173.0/25、135.84.174.0/25、199.19.197.0/24、199.19.199.0/24

  • 设备配置和固件管理(Cisco 设备)—135.84.173.155、135.84.174.155

  • 设备时间同步—135.84.173.152、135.84.174.152

  • 应用程序配置—135.84.173.154、135.84.174.154

2020 年 7 月 22 日

添加了以下 IP 地址以支持加拿大的数据中心采用: 135.84.173.146

2020 年 6 月 9 日

我们对 CScan 条目进行了以下更改:
  • 更正其中一个 IP 地址—从 199.59.67.156 更改为 199.59.64.156

  • 新功能需要新的端口以及 UDP—19560-19760

2020 年 3 月 11 日

我们将以下域和 IP 地址添加到应用程序配置:

  • jp.bcld.webex.com—135.84.169.150

  • client-jp.bcld.webex.com

  • idbroker.webex.com—64.68.99.6, 64.68.100.6

我们更新了以下域,将额外 IP 地址用于设备配置和固件管理:

  • cisco.broadcloud.eu—85.119.56.198, 85.119.57.198

  • webapps.cisco.com—72.163.10.134

  • activation.webex.com—35.172.26.181, 52.86.172.220

  • cloudupgrader.webex.com—3.130.87.169, 3.20.185.219

2020 年 2 月 27 日

我们将以下域和端口添加到设备配置和固件管理:

cloudupgrader.webex.com—443, 6970