Webex Teams Services 的網路需求
此文章,經過機器翻譯處理英文版。 對於從英文機器翻譯成任何其他語言的準確性、正確性或可靠性,無任何類型的明示或暗示保證。 Cisco 對因不正確的內容翻譯或資訊使用導致的資訊不准確、錯誤或損壞不負任何責任。
Webex Teams Services 的網路需求文件修訂歷史記錄 此文章適用於網路管理員,特別是防火牆、Proxy 及網路安全管理員。 它將協助您設定網路來支援 Webex Teams(先前稱為 Cisco Spark)。 如需瞭解傳統 Webex Meetings 用戶端的網路要求,請參閱 WBX264 - 如何在我的網路上允許 Webex Meetings 流量?。 Webex Teams 網路需求所有 Webex Teams 應用程式和裝置都只會起始出站連線。 Cisco 的 Webex Cloud 永遠不會起始指向 Webex Teams 應用程式和裝置的任何連線。 Webex Teams 服務託管在全球分佈的資料中心,這些資料中心是 Cisco 擁有的(例如,用於身分識別服務、金鑰管理服務和媒體伺服器的 Webex 資料中心),或者託管在 Amazon AWS 平台上的 Cisco 虛擬私人雲端 (VPC) 中(例如,Webex Teams 微服務、訊息和檔案儲存服務)。 所有資料在傳輸和靜止時均被加密。 流量的類型Webex Teams 應用程式和裝置使用兩種類型的流量:訊號和媒體訊號流量 Webex Teams 應用程式和裝置將 HTTPS 和 WSS(安全的網路通訊端)用於訊號流量。 訊號流量由使用高度加密組合(256 位元或 128 位元對稱密碼金鑰大小,SHA-2 雜湊涵數)的 TLS 保護。 偏好使用 256 位元對稱密碼金鑰的 TLS 密碼組合,例如: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS 1.2 版和 1.1 版僅由 Webex Teams 服務支援。 除即時媒體之外的所有 Webex Teams 功能都依賴於 TLS 訊號。 用於訊號流量的 Webex Teams URL 如果您已部署 Proxy 或防火墻來篩選離開您企業網路的流量,則可在 Webex Teams URL 中找到需要加入白名單以存取 Webex Teams 服務的目的地 URL 清單。 不支援依 IP 位址篩選 Webex Teams 訊號流量,因為 Webex Teams 使用的 IP 位址是動態的,隨時可能會變更。 媒體流量 Webex Teams 應用程式和裝置將即時媒體用於音訊、視訊和內容共用串流。 通常*,來自任何 Webex Teams 應用程式或裝置的媒體從使用者的位置傳送到 Webex Cloud 中的媒體節點,串流在其中進行混合並分發。 這適用於所有呼叫類型,例如一對一呼叫和多方呼叫。 (*也可以部署內部視訊網格節點以在本端混合及分發媒體)。 Cisco 使用「安全的即時傳輸通訊協定 (SRTP)」(在 RFC 3711 中有說明)來保護所有 Webex Teams 媒體串流的安全。 Cisco 應用程式和裝置使用 AES_CM_128_HMAC_SHA1_80 密碼組合來加密媒體。 根據 RFC 3711,Cisco 強烈建議使用 UDP 作為 Webex Teams 語音和視訊媒體串流的傳輸通訊協定。 Webex Teams 應用程式和裝置也支援 TCP 作為備援媒體傳輸通訊協定。 但是,Cisco 不建議將 TCP 作為語音和視訊媒體串流的傳輸通訊協定。 這是因為 TCP 是連線導向的,並且設計為可靠地將正確排序的資料交付給上層通訊協定。 使用 TCP,傳送端將會重新傳送丟失的封包直到確認封包為止,而接收端會緩衝封包串流直到丟失的封包復原為止。 對於媒體串流,此行為表現為延遲時間/抖動增加,進而影響呼叫的參加者所體驗的媒體品質。 Webex Teams 應用程式還支援將 TLS (HTTPS) 作為媒體傳輸的第三位選項。 使用 TLS 也可以表示此 Webex Teams 媒體流量將需要通過企業的 Proxy 伺服器以到達 Webex Cloud 中的媒體伺服器。 由於 Proxy 伺服器主要設計為攔截及轉遞基於 HTTP 的網路流量;因此,如果在處理大量高頻寬媒體串流時 Proxy 伺服器達到其效能臨界值並捨棄封包,則媒體品質可能會受到影響。 Webex Teams 媒體使用對稱、內部起始且輸出至 Webex Cloud 的 5 元組(來源 IP 位址、目的地 IP 位址、來源連接埠、目的地連接埠、通訊協定)串流雙向流動。 Webex Teams 也會使用 STUN (RFC 5389) 來測試防火墻穿越和媒體節點存取性。 如需更多詳細資料,請參閱 Webex Teams 防火墻白皮書。 Webex Teams – 媒體的目的地 IP 位址範圍
如果您想要控制離開您企業網路的媒體流量目的地,則可在以下位置找到傳送至 Webex Teams 媒體節點之媒體流量的目的地 IP 位址範圍:媒體的 Webex Teams IP 子網路 Webex Teams 流量通過 Proxy 和防火墻大部分客戶部署網際網路防火墻或網際網路 Proxy 和防火墻來限制及控制離開及進入其網路的 HTTP 型流量。 請遵循下列的防火墻和 Proxy 指引來啟用針對來自您網路之 Webex Teams 服務的存取權。防火牆設定如果您只在使用防火墻,請注意,不支援使用 IP 位址來篩選 Webex Teams 訊號流量,因為 Webex Teams 訊號使用的 IP 位址是動態的,隨時可能會變更。 如果您的防火墻支援 URL 篩選,請將 Webex Teams URL 中公開的 Webex Teams 目的地 URL 加入白名單。Webex Teams 應用程式和裝置下表說明了 Webex Teams 應用程式和裝置使用的連接埠和通訊協定。
媒體的 Webex Teams IP 子網路
Cisco 不支援、也不建議篩選特定地理區域的 IP 位址。 依區域篩選可能會導致 Webex Teams 會議中的體驗嚴重降級,最嚴重的情況包括完全無法加入會議。 (1) 已淘汰使用媒體的連接埠 33434,但為了與舊版相容,如果 5004 未開放,則 Webex Teams 仍將探測並使用這些連接埠。 附註:傳統的 Webex 會議用戶端目前使用媒體的 UDP 連接埠 9000,如需詳細資訊,請參閱 WBX264 - 如何在我的網路上允許 Webex Meetings 流量?。 Proxy 設定許多組織使用 Proxy 來檢查及控制離開其網路的使用者流量。 Proxy 可用來執行多種安全功能,例如將 URL 加入白名單/黑名單、使用者驗證、IP 位址/網域/主機名稱/URI 聲譽查找以及流量解密和檢查。 以下討論與 Webex Teams 相關的 Proxy 功能。 Webex Teams URL下表說明了 Webex Teams 使用的 URL。 如果您的組織使用 Proxy,請確保可以存取這些 URL。 如需 Webex Teams 如何處理傳送至這些 URL 之資料的詳細資料,請參閱 Webex Teams 安全性和隱私權白皮書。
** Webex Teams 使用第三方來收集診斷和疑難排解資料;並收集毀損和使用情況指標。 Webex 隱私權資料表中說明了可以傳送給這些第三方網站的資料。 如需詳細資訊,請參閱:https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-webex-privacy-data-sheet.pdf Webex Teams Hybrid Services 的其他 URL
** 我們期望針對 Hybrid Services 容器逐步停止使用 *.docker.com 和 *.docker.io,並最終將它們替換為 *amazonaws.com。 Proxy 功能Proxy 驗證支援Proxy 可用作存取控制裝置,以封鎖對外部資源的存取權,直到使用者/裝置提供有效的存取權限認證來存取 Proxy 為止。 Proxy 支援數種驗證方法,例如基本驗證、摘要驗證(基於 Windows)NTLM、Kerberos 和協商(具有 NTLM 撤回機制的 Kerberos)。
(1):Mac NTLM 驗證 - 機器不必登入網域,系統提示使用者輸入密碼 Proxy 檢查和憑證訂選Webex Teams 會驗證與其進行通訊之系統的憑證。 執行此作業的方式是確定可以根據裝置作業系統中安裝的可信根 CA 憑證清單,以及安裝在 Webex Teams 應用程式的中間憑證公開金鑰的 PIN(雜湊)來驗證建立 TLS 階段作業時呈現的憑證。 Webex Teams 也會確保憑證不是由已知惡意或受損憑證授權單位簽發。
802.1X – 基於連接埠的網路存取控制
Cisco Webex 視訊網格「Cisco Webex 視訊網格」為網路上的媒體流量提供目的地。 媒體可以保留在網路上,而不是全部媒體都前往 Webex Cloud,這樣可以降低網際網路頻寬使用率並提高媒體品質。 如需詳細資料,請參閱 Cisco Webex 視訊網格部署指南。
|
來源 IP | 目的地 IP | 目的地埠 | 通訊協定 | 說明 | 使用此規則的裝置 |
---|---|---|---|---|---|
您的網路 | 任意 | 123 | UDP | NTP 時間同步 | Webex Calling: 具有多平台韌體的 Cisco 電話 (MPP 電話): 6800 系列 IP 電話 7800 系列 IP 電話 7832 會議電話 88x5 視訊電話 |
您的網路 | 任意 | 3478 | UDP | 音訊、訊視 TURN 伺服器 | |
您的網路 | 任意 | 24000-29999、36000-59999 | UDP | SRTP 音訊和視訊媒體 | |
您的網路 | 任意 | 5061 | TLS | SIP 訊號 | |
您的網路 | 任意 | 8443 | TLS | 訊號 |
文件修訂歷史記錄 - Webex Teams Services 的網路需求
修訂日期 | 新增及變更資訊 |
2019 年 10 月 14 日 | 新增了對協作室裝置的 TLS 檢查支援 |
2019 年 9 月 16 日 | 為使用 TCP 作為傳輸通訊協定的 DNS 系統新增了 TCP 支援要求。 新增 URL *.walkme.com – 此服務為新使用者提供了入門和使用指南。 Web Assistant 所使用服務 URL 的修正。 |
2019 年 8 月 28 日 | 新增了 *.sparkpostmail1.com URL 新聞、註冊資訊、公告的電子郵件服務 |
2019 年 8 月 20 日 | 為視訊網格節點和混合資料安全服務新增了 Proxy 支援 |
2019 年 8 月 15 日 | 用於 Webex Teams 服務的 Cisco 和 AWS 資料中心概觀。 為檔案儲存新增了 *.webexcontent.com URL 關於檔案儲存棄用 clouddrive.com 的附註 為指標和測試新增了 *.walkme.com URL |
2019 年 7 月 12 日 | 新增了 *.activate.cisco.com 和 *.webapps.cisco.com URL 文字轉語音 URL 已更新為 *.speech-googleapis.wbx2.com 和 *.texttospeech-googleapis.wbx2.com 已移除 *.quay.io URL Hybrid Services 容器 URL 已更新為 *.amazonaws.com |
2019 年 6 月 27 日 | 為 People Insights 功能新增了 *.accompany.com 白名單要求 |
2019 年 4 月 25 日 | 為有關 TLS 版本支援的行新增了「Webex Teams 服務」。 在媒體流量下的媒體串流行中新增了「Webex Teams」。 在媒體部分的 Webex Teams IP 子網路的區域之前新增了「地理」。 對措詞進行了其他較小的修改。 編輯了 Webex Teams URL 表格:更新了 A/B 測試和指標的 URL,並為 Google Speech Services 新增了幾列。 在「Webex Teams Hybrid Services 的其他 URL」部分中,在 AsyncOS 之後移除了「10.1」版本資訊。 更新了「Proxy 驗證支援」部分中的文字。 |
2019 年 3 月 26 日 | 已將此處鏈結的 URL「請參閱 WSA Webex Teams 設定文件以獲取指引」從 https://www.cisco.com/c/dam/en/us/products/collateral/security/web-security-appliance/guide-c07-739977.pdf 變更為 https://www.cisco.com/c/en/us/td/docs/security/wsa/wsa11-5/user_guide/b_WSA_UserGuide_11_5_1.html 已將 URL「api.giphy.com」變更為 *.giphy.com |
2019 年 2 月 21 日 | 由於即將推出同名的產品(透過 BroadCloud 推出 Webex Calling),已根據 John Costello 的要求將「Webex Calling」更新為「Webex Calling(先前稱為 Spark Calling)」。 |
2019 年 2 月 6 日 | 已將文字「混合媒體節點」更新為「Webex 視訊網格節點」 |
2019 年 1 月 11 日 | 現已將「端對端加密檔案已上傳至 Webex Teams 空間和頭像儲存空間」變更為「端對端加密檔案已上傳至 Webex Teams 空間、頭像儲存空間、Webex Teams 品牌標誌」 |
2019 年 1 月 9 日 | 已更新為移除下列這一行:「*若要讓 Webex Teams 協作室裝置取得透過 TLS 檢查 Proxy 來驗證通訊所需的 CA 憑證,請聯絡 CSM 或者向 Cisco TAC 呈報問題。」 |
2018 年 12 月 5 日 | 更新了 URL:從 Webex Teams URL 表格中的 4 個項目中移除了「https://」: https://api.giphy.com -> api.giphy.com https://safebrowsing.googleapis.com -> safebrowsing.googleapis.com http://www.msftncsi.com/ncsi.txt -> msftncsi.com/ncsi.txt https://captive.apple.com/hotspot-detect.html -> captive.apple.com/hotspot-detect.html
|
2018 年 11 月 30 日 | 新 URL: *.ciscosparkcontent.com, *.storage101.ord1.clouddrive.com, *.storage101.dfw1.clouddrive.com, *.storage101.iad3.clouddrive.com, https://api.giphy.com, https://safebrowsing.googleapis.com, http://www.msftncsi.com/ncsi.txt, https://captive.apple.com/hotspot-detect.html, *.segment.com, *.segment.io, *.amplitiude.com,*.eum-appdynamics.com, *.docker.io, *.core-os.net, *.s3.amazonaws.com, *.identity.api.rackspacecloud.com |
支援 Windows、iOS 和 Android 的其他 Proxy 驗證方法 | |
Webex Board 採用協作室裝置作業系統和功能;協作室裝置共用的 Proxy 功能為:SX、DX、MX、Room Kit 系列和 Webex Board | |
支援透過 iOS 和 Android 應用程式進行 TLS 檢查 | |
取消支援對以下協作室裝置進行 TLS 檢查:SX、DX、MX、Room Kit 系列和 Webex Board | |
Webex Board 採用協作室裝置作業系統和功能;802.1X 支援 | |
2018 年 11 月 21 日 | 針對媒體部分的 IP 子網路新增了下列附註:雲端媒體資源的上述 IP 範圍清單並非詳盡無遺,上述清單中可能未包括由 Cisco Webex Teams 使用的其他 IP 範圍。 但是,Webex Teams 應用程式和裝置在未連線至未公開媒體 IP 位址的情況下將能夠正常運作。 |
2018 年 10 月 19 日 | 新增了附註:Webex Teams 使用第三方來收集診斷和疑難排解資料;並收集毀損和使用情況指標。 Webex 隱私權資料表中說明了可以傳送給這些第三方網站的資料。 如需詳細資訊,請參閱:https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-webex-privacy-data-sheet.pdf |
Hybrid Services 使用的其他 URL 的個別表格 : *.cloudfront.net、*.docker.com、*.quay.io、*.cloudconnector.cisco.com、*.clouddrive.com | |
2018 年 8 月 7 日 | 已針對連接埠和通訊協定表格新增附註:如果您在視訊網格節點的 OVA 中設定本端 NTP 和 DNS 伺服器,則不需要透過防火牆來開放連接埠 53 和 123。 |
2018 年 5 月 7 日 | 大量文件修訂 |