- 主页
- /
- 文章
在此文章中本文适用于在其组织中使用Webex 服务的网络管理员(尤其是防火墙)和代理安全管理员。 它描述了网络要求,并列出了用于将电话、Webex应用程序和网关连接到Webex 服务的地址、端口和协议。
正确配置的防火墙和代理对于成功的呼叫部署至关重要。 Webex 使用SIP和HTTPS进行呼叫信令以及媒体、网络连接和网关连接的关联地址和端口,因为Webex 是一项全球服务。
并非所有防火墙配置都需要打开端口。 但是,如果您运行的是内部到外部规则,则必须为所需协议打开端口以释放服务。
网络地址转换(NAT)
网络地址转换(NAT)和端口地址转换(PAT)功能应用于两个网络的边界,以转换地址空间或防止IP地址空间冲突。
组织使用提供NAT或PAT服务的防火墙和代理等网关技术来向专用IP地址空间上的应用程序或设备提供互联网访问。 这些网关使得从内部应用程序或设备到互联网的流量似乎来自一个或多个可公开路由的IP地址。
如果部署NAT,则并非必须在防火墙上打开入站端口。
验证当多个应用程序用户和设备使用NAT或PAT访问Webex 和Webex感知服务时,应用程序或设备连接所需的NAT池大小。 确保为NAT池分配足够的公共IP地址,以防止端口耗尽。 端口耗尽导致内部用户和设备无法连接到Webex 和Webex Aware服务。
定义合理的绑定周期并避免操作NAT设备上的SIP。
配置最小NAT超时以确保设备正常运行。 例如: Cisco电话每1-2分钟发送一条跟踪“注册”刷新消息。
如果您的网络实施了NAT或SPI,则为连接设置更大的超时时间(至少30分钟)。 此超时可实现可靠的连接,同时减少用户移动设备的电池消耗。
SIP应用层网关
如果路由器或防火墙可感知SIP,即已启用SIP应用程序层网关(ALG)或类似功能,我们建议您关闭此功能以保持服务的正确运行。
请查看相关制造商的文档,了解在特定设备上禁用SIP ALG的步骤。
Webex 的代理支持
组织部署互联网防火墙或互联网代理和防火墙,以检查、限制和控制离开和进入其网络的HTTP流量。 从而保护他们的网络免受各种形式的网络攻击。
代理执行多种安全功能,例如:
允许或阻止对特定URL的访问。
用户身份验证
IP地址/域/主机名/URI声誉查找
交通解密和检查
在配置代理功能时,它应用于使用HTTP协议的所有应用程序。
应用程序包括以下内容:
Webex 服务
使用Cisco云预配置平台(例如GDS、EDOS设备激活、预配置和加入Webex云)的客户设备激活(CDA)程序。
证书验证
固件升级
状态报告
PRT上传
XSI服务
 | 如果配置了代理服务器地址,则只会将信令流量(HTTP/HTTPS)发送到代理服务器。 使用SIP注册到Webex 服务和关联媒体的客户端不会发送到代理。 因此,允许这些客户端直接通过防火墙。 |
支持的代理选项、配置和验证类型
支持的代理类型包括:
显式代理(检查或不检查)—使用显式代理配置应用程序或设备的客户端,以指定要使用的服务器。
透明代理(不检查)—客户端未配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。
透明代理(检查)—客户端未配置为使用特定代理服务器地址。 无需更改HTTP的配置;但是,您的客户端应用程序或设备需要根证书,以便他们信任代理。 IT团队使用检查代理在要访问的网站和不允许的内容类型上执行策略。
使用以下方法为Cisco设备和Webex应用程序手动配置代理地址:
在配置首选产品类型时,从表中的以下代理配置和验证类型中进行选择:
产品 | 代理配置 | 验证类型 |
|---|---|---|
Mac 版 Webex | 手动、WPAD、PAC | 无验证、基本、NTLM,† |
Windows 版 Webex | 手动、WPAD、PAC、GPO | 不验证、基本、NTLM、†、协商 † |
iOS 版 Webex | 手动、WPAD、PAC | 不验证、基本、摘要、NTLM |
Android 版 Webex | 手动、PAC | 不验证、基本、摘要、NTLM |
Webex Web 应用程序 | 通过操作系统支持 | 不验证、基本、摘要、NTLM、协商 † |
Webex Devices | WPAD、PAC 或手动 | 不验证、基本、摘要 |
Cisco IP 电话 | 手动、WPAD、PAC | 不验证、基本、摘要 |
Webex 视频网格节点 | 手动 | 不验证、基本、摘要、NTLM |
对于表中的图例:
† NTLM验证-机器无需登录到域,用户会被提示输入密码
† NTLM验证-仅在机器登录到域时受支持
协商 †- Kerberos具有NTLM回退验证。
要将Cisco Webex Board、Desk或Room Series设备连接到代理服务器,请参阅 Board、Desk或Room Series设备连接到代理服务器。
对于Cisco IP电话,请参阅 代理服务器 作为配置代理服务器和设置的示例。
| 适用于 |
Windows操作系统的代理设置
Microsoft Windows支持两个HTTP流量网络库(WinInEt和WinHTTP),允许配置代理。WinInEt是WinHTTP的超集。
WinInet专为单用户桌面客户端应用程序而设计
WinHTTP主要设计用于基于多用户服务器的应用程序
在两者之间进行选择时,选择WinInEt作为代理配置设置。 有关详细信息,请参阅wininet-vs-winhttp。
请参阅在公司网络上配置允许访问Webex的域列表以获取以下详细信息:
确保用户仅使用预定义的域列表中的帐户登录应用程序。
使用代理服务器来拦截请求并限制允许的域。
代理检查和证书置顶
Webex应用程序和设备在建立TLS会话时验证服务器的证书。 证书检查证书颁发者和数字签名等是否依赖于验证直至根证书的证书链。 要执行验证检查,Webex应用程序和设备使用安装在操作系统信任存储区中的一组受信任的根CA证书。
如果您部署了TLS检查代理来拦截、解密和检查Webex 流量。 确保代理提交的证书(代替Webex服务证书)由证书颁发机构签名,并且根证书已安装在Webex应用程序或Webex设备的信任存储区中。
对于Webex应用程序-安装代理用于在设备操作系统中签署证书的CA证书。
对于Webex Room设备和Cisco多平台IP电话-向TAC团队提交服务请求以安装CA证书。
此表显示了支持由代理服务器进行TLS检查的Webex应用程序和Webex设备
产品 | 支持自定义受信任 CA 以进行 TLS 检查 |
|---|---|
Webex 应用程序 (Windows、Mac、iOS、Android、Web) | 有 |
Webex Room 设备 | 有 |
Cisco IP多业务平台(MPP)电话 | 有 |
防火墙配置
Cisco在安全的Cisco和Amazon Web Services (AWS)数据中心支持Webex 和Webex Aware服务。 Amazon保留其IP子网供Cisco单独使用,并保护位于这些子网中的AWS虚拟私有云中的服务。
将防火墙配置为允许来自设备、应用程序和面向互联网的服务的通信以正确执行其功能。 此配置允许访问所有受支持的Webex 和Webex Aware云服务、域名、IP地址、端口和协议。
将以下内容列入白名单或开放访问,以便Webex 和Webex Aware服务正常运行。
Webex 服务的域 URL部分中提到的URL/域
Webex 服务的IP子网部分中提到的IP子网、端口和协议
如果您使用的是Webex Meetings、 和其他服务,请确保您也可打开本文中提到的域/URL Webex服务的 要求
如果您仅使用防火墙,则不支持单独使用IP地址过滤Webex 流量,因为某些IP地址池是动态的,随时可能更改。 定期更新规则,如果未能更新防火墙规则列表,可能会影响用户的体验。 Cisco不支持基于特定地理区域或云服务提供商过滤部分IP地址。 按区域过滤可能会导致您的呼叫体验严重退化。
| 注: Cisco不维护动态更改的IP地址池,因此本文中没有列出它。 |
如果您的防火墙不支持域/URL过滤,请使用“企业代理服务器”选项。 在转发到防火墙之前,此选项通过URL/域过滤/允许代理服务器中的HTTP信令流量到Webex 和Webex Aware服务。
您可以使用呼叫媒体的端口和IP子网过滤来配置流量。 由于媒体流量需要直接访问互联网,请为信令流量选择URL过滤选项。
对于Webex ,UDP是Cisco的首选媒体传输协议,建议仅使用基于UDP的SRTP。 Webex 在生产环境中不支持将TCP和TLS作为媒体的传输协议。 这些协议的面向连接的性质会影响有损网络上的媒体质量。 如果您对传输协议有疑问,请提交支持申请单。
Webex 服务的域和URL
URL开头显示的*(例如*。webex.com)表示可访问顶级域和所有子域中的服务。
域/URL | 描述 | 使用这些域/URL 的 Webex 应用程序和设备 | ||
|---|---|---|---|---|
Cisco Webex 服务 | ||||
*.broadcloudpbx.com | 用于从Control Hub交叉启动到呼叫管理门户的Webex授权微服务。 | Control Hub | ||
*.broadcloud.com.au | Webex Calling 服务(澳大利亚)。 | 所有 | ||
*.broadcloud.eu | Webex Calling 服务(欧洲)。 | 所有 | ||
*.broadcloudpbx.net | 呼叫客户端配置和管理服务。 | Webex 应用程序 | ||
*.webex.com *.cisco.com | 核心Webex 和Webex Aware服务
当电话第一次连接到网络或恢复出厂设置但未设置DHCP选项时,它会联系设备激活服务器以进行零接触预配置。 新电话使用activate.cisco.com,固件版本早于11.2(1)的电话继续使用webapps.cisco.com进行预配置。 从binaries.webex.com 下载设备固件和区域设置更新。 允许12.0.3版本以上的Cisco多业务平台电话(MPP)通过端口80访问 sudirenewal.cisco.com 以续订制造商预装证书(MIC)并具有安全唯一设备标识符(SUDI)。 有关详细信息,请参阅字段通知。 | 所有 | ||
*.ucmgmt.cisco.com | Webex Calling 服务 | Control Hub | ||
*.wbx2.com 和 *.ciscospark.com | 用于云感知,以便在加入期间和之后联系Webex 和Webex Aware服务。 这些服务对于以下用途是必需的
| 所有 | ||
*。webexapis.com | 管理应用程序和设备的Webex微服务。
| 所有 | ||
*。webexcontent.com | 与常规文件存储相关的Webex消息传递服务,包括:
| Webex应用程序消息传递服务。
| ||
*.accompany.com | People Insights集成 | Webex 应用程序 | ||
其他 Webex 相关服务(第三方域) | ||||
*.appdynamics.com *.eum-appdynamics.com | 性能跟踪、错误和崩溃捕获、会话指标。 | Control Hub | ||
*.sipflash.com | 设备管理服务。 固件升级和安全激活目的。 | Webex 应用程序 | ||
*.walkme.com *.walkmeusercontent.com | Webex 用户指南客户端。 为新用户提供加入和使用教程。 有关 WalkMe 的更多信息,请单击此处。 | Webex 应用程序 | ||
*。google.com *。googleapis.com | 移动设备上的Webex应用程序通知(示例: 新消息,当呼叫应答时) 有关IP子网,请参阅以下链接 Google Firebase Cloud Messaging (FCM)服务
| Webex 应用程序 | ||
Webex 服务的IP子网
Webex 服务的IP子网*† | ||
|---|---|---|
23.89.0.0/16 | 85.119.56.0/23 | 128.177.14.0/24 |
128.177.36.0/24 | 135.84.168.0/21 | 139.177.64.0/21 |
139.177.72.0/23 | 144.196.0.0/16 | 150.253.128.0/17 |
163.129.0.0/17 | 170.72.0.0/16 | 170.133.128.0/18 |
185.115.196.0/22 | 199.19.196.0/23 | 199.19.199.0/24 |
199.59.64.0/21 | ||
连接目的 | 源地址 | 源端口 | 协议 | 目的地地址 | 目的地端口 | 笔记 | |
|---|---|---|---|---|---|---|---|
到 Webex Calling 的呼叫信令 (SIP TLS) | 本地网关外部 (NIC) | 8000-65535 | TCP | 请参阅 Webex Calling 服务的 IP 子网。 | 5062、8934 | 从本地网关、设备和应用程序(源)到Webex Calling云(目标)的出站SIP-TLS呼叫信令需要这些IP/端口。 端口5062(基于证书的干线必需)。 和端口8934(基于注册的干线需要 | |
设备 | 5060-5080 | 8934 | |||||
应用程序 | 临时(依赖于操作系统) | ||||||
从Webex Calling (SIP TLS)到本地网关的呼叫信令 | Webex 地址范围。 请参阅Webex 服务的IP子网 | 8934 | TCP | 客户为其本地网关选择的IP或IP范围 | 客户为其本地网关选择的端口或端口范围 | 应用于基于证书的本地网关。 需要建立从Webex 到本地网关的连接。 基于注册的本地网关可重用从本地网关创建的连接。 目标端口是客户选择的 干线 | |
Webex 的呼叫媒体(STUN、SRTP/SRTCP、T38) | 本地网关外部 NIC | 8000-48199†* | UDP | 请参阅 Webex Calling 服务的 IP 子网。 | 5004、9000(STUN端口) 音频: 8500-8599 视频: 8600-8699 19560-65535(基于UDP的SRTP) |
| |
设备†* | 19560-19661 | ||||||
应用程序†* | 音频: 8500-8599 视频: 8600-8699 | ||||||
来自Webex 的呼叫媒体(SRTP/SRTCP、T38) | Webex 地址范围。 请参阅Webex 服务的IP子网 | 19560-65535(基于UDP的SRTP) | UDP | 客户为其本地网关选择的IP或IP范围 | 客户为其本地网关选择的媒体端口范围 | ||
| 到 PSTN 网关的呼叫信令 (SIP TLS) | 本地网关内部 NIC | 8000-65535 | TCP | 您的 ITSP PSTN GW 或 Unified CM | 取决于 PSTN 选项(例如,对于 Unified CM,通常为 5060 或 5061) | ||
| 到PSTN网关的呼叫媒体(SRTP/SRTCP) | 本地网关内部 NIC | 8000-48199†* | UDP | 您的 ITSP PSTN GW 或 Unified CM | 取决于PSTN选项(例如,通常用于Unified CM的5060或5061) | ||
设备配置和固件管理(Cisco 设备) | Webex Calling 设备 | 临时 | TCP | 3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443、6970、80 | 由于以下原因而需要:
| |
应用程序配置 | Webex Calling 应用程序 | 临时 | TCP | 62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443、8443 | 用于Id代理验证、客户端的应用程序配置服务、基于浏览器的Web访问(自助)和管理界面访问。 | |
设备时间同步 (NTP) | Webex Calling 设备 | 51494 | UDP | 请参阅 Webex Calling 服务的 IP 子网。 | 123 | 需要这些 IP 地址才能实现设备(MPP 电话、ATA 和 SPA ATA)的时间同步 | |
设备名称解析和应用程序名称解析 | Webex Calling 设备 | 临时 | UDP和TCP | 主机定义 | 53 | 用于DNS查找,以发现云中的Webex 服务的IP地址。 即使典型的DNS查找是通过UDP完成的,如果UDP数据包中无法容纳查询响应,有些DNS查找可能需要TCP。 | |
应用程序时间同步 | Webex Calling 应用程序 | 123 | UDP | 主机定义 | 123 | ||
用于Webex 的基于Web的网络就绪预审工具 | 临时 | TCP | 请参阅 Webex Calling 服务的 IP 子网。 | 8934和443 | 用于Webex 的基于Web的网络就绪预审工具。 有关更多信息,请参阅 cscan.webex.com。 | ||
UDP | 19569-19760 | ||||||
其他Webex 和Webex Aware服务(第三方) | |||||||
推送通知APNS和FCM服务 | Webex Calling 应用程序 | 临时 | TCP | 请参阅链接下提及的IP子网 | 443、2197、5228、5229、5230、5223 | 移动设备上的Webex应用程序通知(示例: 当您收到新消息或呼叫被应答时) | |
|
|
Webex Meetings/Messaging - 网络要求
将MPP设备加入Webex云,以获取呼叫历史记录、目录搜索和会议等服务。 请参阅 bex服务的网络要求 这些Webex服务的网络要求。 如果您使用的是Webex应用程序中的会议、消息传递和其他服务,请确保打开本文中提到的域/URL/地址。
参考
要了解Webex 中的新功能,请参阅Webex 中的 功能
文档修订历史记录
日期 | 我们对本文进行了以下更改 | ||
|---|---|---|---|
2024年6月28日 | 更新了Webex 媒体规范的两个SRTP/SRTCP端口范围的使用情况。 | ||
2024年6月11日 | 已删除“huton-dev.com”域,因为它未被使用。 | ||
2024年5月6日 | 更新了Webex 媒体规范的两个SRTP/SRTCP端口范围的使用情况。 | ||
2024年4月3日 | 已将Webex 服务的IP子网更新为163.129.0.0/17,以适应Webex 在印度地区的市场扩张。 | ||
2023年12月18日 | 包括针对Cisco MPP电话MIC续订的设备配置和固件管理的SUDIRENEWAL。cisco.com URL和端口80要求。 | ||
2023年12月11日 | 更新了Webex 服务的IP子网,以包含更多的IP地址。 150.253.209.128/25 –更改为150.253.128.0/17 | ||
2023年11月29日 | 更新了Webex 服务的IP子网,以包含更多的IP地址,以适应Webex 区域扩展以满足未来增长需求。 144.196.33.0/25 –更改为144.196.0.0/16 更新了Webex Calling (SIP TLS)下Webex 服务部分的IP子网和Webex Calling (STUN、SRTP)的呼叫媒体部分,以明确基于证书的中继和本地网关的防火墙要求。 | ||
2023 年 8 月 14 日 | 我们添加了以下IP地址144.196.33.0/25和150.253.156.128/25,以支持Edge和Webex 服务的容量要求。
| ||
2023年7月5日 | 添加了 https://binaries.webex.com 安装Cisco MPP固件的链接。 | ||
2023 年 3 月 7 日 | 我们对整篇文章进行了修改,包括:
| ||
2023年3月5日 | 更新文章以包含以下内容:
| ||
2022 年 11 月 15 日 | 我们添加了用于设备配置和固件管理(Cisco设备)的以下IP地址:
我们已从设备配置和固件管理(Cisco设备)中删除以下IP地址:
| ||
2022年11月14日 | 添加了Webex 服务的IP子网170.72.242.0/24。 | ||
2022年9月8日 | Cisco MPP固件转换为使用https://binaries.webex.com 作为所有区域MPP固件升级的主机URL。 此更改可提高固件升级性能。 | ||
2022年8月30日 | 删除了“端口”表格中设备配置和固件管理(Cisco设备)、应用程序配置和CScan行中对端口80的引用,因为没有依赖关系。 | ||
2022 年 8 月 18 日 | 解决方案无变化。 更新了目标端口5062(基于证书的干线所需)和8934(基于注册的干线所需),用于到Webex Calling (SIP TLS)的呼叫信令。 | ||
2022年7月26日 | 添加了Cisco 840/860设备固件升级所需的54.68.1.225 IP地址。 | ||
2022年7月21日 | 更新了用于到Webex Calling (SIP TLS)的呼叫信令的目标端口5062、8934。 | ||
2022年7月14日 | 添加了支持Webex Aware服务的完整功能的URL。 添加了Webex 服务的IP子网23.89.154.0/25。 | ||
2022 年 6 月 27 日 | 更新了Webex 服务的域和URL: *.broadcloudpbx.com *.broadcloud.com.au *.broadcloud.eu *.broadcloudpbx.net | ||
2022年6月15日 | 在 Webex 服务的IP地址和端口下添加了以下端口和协议:
bex Meetings/Messaging -网络要求 部分中的更新信息 | ||
2022年5月24日 | 将Webex 服务的IP子网52.26.82.54/24添加为52.26.82.54/32 | ||
2022年5月6日 | 添加了Webex 服务的IP子网52.26.82.54/24 | ||
2022年4月7日 | 已将本地网关内部和外部UDP端口范围更新为8000-48198† | ||
2022 年 4 月 5 日 | 已为Webex 服务添加以下IP子网:
| ||
2022年3月29日 | 已为Webex 服务添加以下IP子网:
| ||
2021 年 9 月 20 日 | 新增 4 个 IP 子网用于 Webex Calling 服务:
| ||
2021 年 4 月 2 日 | Webex Calling 服务的域和 URL 下已添加 *.ciscospark.com,可支持 Webex 应用程序中的 Webex Calling 用例。 | ||
2021 年 3 月 25 日 | 已为 activate.cisco.com 新增 6 个 IP 范围,将于 2021 年 5 月 8 日起生效。
| ||
2021 年 3 月 4 日 | 已使用独立表格中的简化范围替换 Webex Calling 分散式 IP 和范围较小的 IP,以便于了解防火墙配置。 | ||
2021 年 2 月 26 日 | 将5004作为呼叫媒体的目标端口添加到Webex Calling (STUN、SRTP),以支持将于2021年4月在Webex 中提供的交互式连接建立(ICE)。 | ||
2021 年 2 月 22 日 | 域和 URL 现已列在独立表格中。 IP地址和端口表已调整为对相同服务的IP地址分组。 在IP地址和端口表格中添加“备注”列,有助于了解需求。 将以下IP地址移至简化范围,以进行设备配置和固件管理(Cisco设备):
为应用程序配置添加以下IP地址,因为Cisco Webex客户端指向2021年3月在澳大利亚更新的DNS SRV。
| ||
2021 年 1 月 21 日 | 我们已将以下IP地址添加到设备配置和固件管理(Cisco设备):
我们已从设备配置和固件管理(Cisco设备)中删除以下IP地址:
我们已将以下IP地址添加到应用程序配置:
我们已从应用程序配置中删除以下IP地址:
我们已从应用程序配置中删除以下端口号:
我们已将以下域添加到应用程序配置:
| ||
2020 年 12 月 23 日 | 在端口引用图像中添加了新的应用程序配置 IP 地址。 | ||
2020 年 12 月 22 日 | 更新了表格中的应用程序配置行以包含以下 IP 地址: 135.84.171.154 和 135.84.172.154。 隐藏网络框图直到添加这些IP地址。 | ||
2020 年 12 月 11 日 | 更新了受支持的加拿大区域的设备配置和固件管理(Cisco 设备)和应用程序配置行。 | ||
2020 年 10 月 16 日 | 用以下 IP 地址更新了呼叫信令和媒体条目:
| ||
2020 年 9 月 23 日 | 在 CScan 下,将 199.59.64.156 替换为 199.59.64.197。 | ||
2020 年 8 月 14 日 | 添加了更多 IP 地址以支持加拿大的数据中心采用: 到 Webex Calling 的呼叫信令(SIP TLS)—135.84.173.0/25、135.84.174.0/25、199.19.197.0/24、199.19.199.0/24 | ||
2020 年 8 月 12 日 | 添加了更多 IP 地址以支持加拿大的数据中心采用:
| ||
2020 年 7 月 22 日 | 添加了以下 IP 地址以支持加拿大的数据中心采用: 135.84.173.146 | ||
2020 年 6 月 9 日 | 我们对 CScan 条目进行了以下更改:
| ||
2020 年 3 月 11 日 | 我们将以下域和IP地址添加到应用程序配置中:
我们更新了以下域,将额外 IP 地址用于设备配置和固件管理:
| ||
2020 年 2 月 27 日 | 我们将以下域和端口添加到设备配置和固件管理: cloudupgrader.webex.com—443, 6970 |
