Eine richtig konfigurierte Firewall ist für eine erfolgreiche Anrufbereitstellung unerlässlich. Webex Calling verwendet SIP und HTTPS für die Anrufsignalisierung und die zugehörigen Adressen und Ports für Medien-, Netzwerkverbindungs- und Gateway-Konnektivität, da Webex Calling ein globaler Dienst ist.

Nicht alle Firewall-Konfigurationen erfordern, dass Ports geöffnet sind. Wenn Sie jedoch Inside-to-Outside-Regeln ausführen, müssen Sie Ports für die erforderlichen Protokolle öffnen, um Dienste vermieten zu können.

Netzwerkadressenübersetzung (NAT)

Die Funktionen Network Address Translation (NAT) und Port Address Translation (PAT) werden an der Grenze zwischen zwei Netzwerken angewendet, um Adressbereiche zu übersetzen oder die Kollision von IP-Adressbereichen zu verhindern.

Organisationen verwenden Gateway-Technologien wie Firewalls und Proxys, die NAT- oder PAT-Dienste bereitstellen, um den Internetzugang für Webex-App-Anwendungen oder Webex-Geräte bereitzustellen, die sich in einem privaten IP-Adressbereich befinden. Diese Gateways lassen den Datenverkehr von internen Apps oder Geräten zum Internet über eine oder mehrere öffentlich routbare IP-Adressen erscheinen.

  • Wenn Sie NAT bereitstellen, ist es nicht zwingend erforderlich, einen eingehenden Port in der Firewall zu öffnen.

  • Überprüfen Sie die NAT-Poolgröße, die für die App- oder Gerätekonnektivität erforderlich ist, wenn mehrere App-Benutzer und -Geräte über NAT oder PAT auf Webex Calling- und Webex-fähige Dienste zugreifen. Stellen Sie sicher, dass den NAT-Pools ausreichende öffentliche IP-Adressen zugewiesen werden, um eine Erschöpfung des Ports zu verhindern. Die Port-Erschöpfung trägt dazu bei, dass interne Benutzer und Geräte keine Verbindung zu den Webex Calling- und Webex Aware-Diensten herstellen können.

  • Definieren Sie angemessene Bindungszeiträume und vermeiden Sie die Manipulation von SIP auf dem NAT-Gerät.

  • Konfigurieren Sie eine minimale NAT-Zeitüberschreitung, um den ordnungsgemäßen Betrieb der Geräte sicherzustellen. Beispiel: Cisco-Telefone senden alle 1 bis 2 Minuten eine Meldung zur REGISTER-AKTUALISIERUNG.

  • Wenn Ihr Netzwerk NAT oder SPI implementiert, legen Sie eine längere Zeitüberschreitung (von mindestens 30 Minuten) für die Verbindungen fest. Diese Zeitüberschreitung ermöglicht eine zuverlässige Konnektivität bei gleichzeitiger Reduzierung des Batterieverbrauchs der Mobilgeräte der Benutzer.

Gateway für SIP-Anwendungsebene

Wenn ein Router oder eine Firewall SIP-Aware ist, d. h. dass das SIP Application Layer Gateway (ALG) oder etwas Ähnliche aktiviert ist, empfehlen wir, diese Funktionalität zu deaktivieren, um den ordnungsgemäßen Betrieb des Dienstes aufrecht zu erhalten.

Informationen zum Deaktivieren von SIP ALG auf bestimmten Geräten finden Sie in der entsprechenden Herstellerdokumentation.

Proxy-Unterstützung für Webex Calling

Die meisten Kunden setzen eine Internet-Firewall oder einen Internet-Proxy und eine Firewall ein, um den Datenverkehr einzuschränken und zu steuern, der das Netzwerk verlässt. So schützt ihr Netzwerk vor verschiedenen Formen von Cyberangriffen.

Proxys führen mehrere Sicherheitsfunktionen aus, z. B.:

  • Erlauben oder blockieren Sie den Zugriff auf bestimmte URLs.

  • Sichere Authentifizierung

  • Reputationssuche für IP-Adresse/Domäne/Host-Name/URI

  • Entschlüsselung und Überprüfung des Datenverkehrs

Beim Konfigurieren der Proxy-Funktion gilt sie für alle Anwendungen, die das HTTP-Protokoll verwenden.

Die Webex-App und die Webex-Geräteanwendungen umfassen Folgendes:

  • Webex-Dienste

  • CDA-Verfahren (Customer Device Activation) mit der Cisco Cloud-Bereitstellungsplattform wie GDS, EDOS-Geräteaktivierung, Bereitstellung und Onboarding in der Webex-Cloud.

  • Zertifikatsauthentifizierungsmodus

  • Software-Upgrades

  • Statusbericht

  • PRT-Uploads

  • Unsere Services


 

Wenn eine Proxyserver-Adresse konfiguriert ist, wird nur der Signalisierungsverkehr (HTTP/HTTPS) an den Proxyserver gesendet. Clients, die SIP verwenden, um sich beim Webex Calling-Dienst zu registrieren, und die zugehörigen Medien werden nicht an den Proxy gesendet. Lassen Sie daher zu, dass diese Clients die Firewall direkt durchlaufen.

Unterstützte Proxy-Optionen, Konfigurations- und Authentifizierungstypen

Die unterstützten Proxy-Typen sind:

  • Expliziter Proxy (wird geprüft oder nicht geprüft): Konfigurieren Sie die Clients entweder mit der App oder dem Gerät mit explizitem Proxy, um den zu verwendenden Server anzugeben.

  • Transparenter Proxy (wird nicht geprüft): Die Clients sind nicht für die Verwendung einer bestimmten Proxyserver-Adresse konfiguriert und erfordern keine Änderungen, um mit einem Proxy zu arbeiten, der nicht geprüft wird.

  • Transparenter Proxy (Überprüfung): Die Clients sind nicht so konfiguriert, dass sie eine bestimmte Proxyserver-Adresse verwenden. Die Konfigurationsänderungen von HTTP sind nicht erforderlich. Ihre Clients benötigen jedoch entweder für die App oder die Geräte ein Stammzertifikat, damit sie dem Proxy vertrauen können. Das IT-Team verwendet die Prüfproxys, um Richtlinien auf den Websites für den Besuch und die Arten von Inhalten, die nicht zulässig sind, durchzusetzen.

Konfigurieren Sie die Proxy-Adressen für die Cisco-Geräte und die Webex-App manuell mit:

Wählen Sie während der Konfiguration Ihrer bevorzugten Produkttypen eine der folgenden Proxy-Konfigurationen und Authentifizierungstypen in der Tabelle aus:

Produkt

Proxy-Konfiguration

Authentifizierungstyp

Webex für Mac

Manuell, WPAD, PAC

Keine Auth, Standard, NTLM

Webex für Windows

Manuell, WPAD, PAC, GPO

Kein Auth, Basic, NTLM, Negotiate

Webex für iOS

Manuell, WPAD, PAC

Keine Auth, Standard, Digest, NTLM

Webex für Android

Manuell, PAC

Keine Auth, Standard, Digest, NTLM

Webex-Web-App

Unterstützt über OS

Keine Auth, Standard, Digest, NTLM, Negotiate

Webex-Geräte

WPAD, PAC oder manuell

Keine Auth, Standard, Digest

Cisco IP-Telefone

Manuell, WPAD, PAC

Keine Auth, Standard, Digest

Webex-Videonetzknoten

Manuell

Keine Auth, Standard, Digest, NTLM

Für Legenden in der Tabelle:

  1. Mac NTLM Auth – Der Computer muss nicht bei der Domäne angemeldet sein. Der Benutzer wird aufgefordert, ein Passwort einzugeben(2):

  2. (2) Windows NTLM Auth - Wird nur unterstützt, wenn der Computer in der Domäne angemeldet ist

  3. Verhandeln - Kerberos mit NTLM Fallback auth.

  4. Informationen zum Verbinden eines Geräts der Cisco Webex Board-, Desk- oder Room-Serie mit einem Proxyserver finden Sie unter Verbinden Ihres Geräts der Board-, Desk- oder Room-Serie mit einem Proxyserver .

  5. Informationen zu Cisco IP-Telefonen finden Sie unter Proxyserver einrichten als Beispiel für die Konfiguration des Proxyservers und der Einstellungen.


 

Für No Authentication, konfigurieren Sie den Client mit einer Proxy-Adresse, die keine Authentifizierung unterstützt. Bei Verwendung Proxy Authentication, mit gültigen Anmeldeinformationen konfigurieren. Proxys, die den Webdatenverkehr prüfen, können Websocket-Verbindungen beeinträchtigen. Wenn dieses Problem auftritt, kann das Problem durch Umgehen des nicht überprüfenden Datenverkehrs zu *.Webex.com behoben werden. Hinweis: Wenn bereits andere Einträge angezeigt werden, fügen Sie nach dem letzten Eintrag ein Semikolon ein, und geben Sie dann die Webex-Ausnahme ein.

Proxy-Einstellungen für Windows OS

Microsoft Windows unterstützt zwei Netzwerkbibliotheken für HTTP-Datenverkehr (WinINet und WinHTTP), die eine Proxy-Konfiguration ermöglichen.WinINet ist ein Superset von WinHTTP.

  1. WinInet wurde für Desktop-Client-Anwendungen mit nur einem Benutzer entwickelt

  2. WinHTTP ist hauptsächlich für serverbasierte Anwendungen mit mehreren Benutzern ausgelegt.

Wenn Sie zwischen den beiden Optionen wählen, wählen Sie WinINet für Ihre Proxy-Konfigurationseinstellungen aus. Weitere Informationen finden Sie unter wininet-vs-winhttp .

Weitere Informationen finden Sie unter Konfigurieren Sie eine Liste der zulässigen Domänen für den Zugriff auf Webex in Ihrem Unternehmensnetzwerk :

  • Um sicherzustellen, dass Benutzer sich nur mit Konten aus einer vordefinierten Liste von Domänen bei Anwendungen anmelden.

  • Verwenden Sie einen Proxyserver, um Anfragen abzufangen und die zulässigen Domänen zu begrenzen.

Proxy-Überprüfung und Zertifikats-Pinning

Die Webex-App und Webex-Geräte überprüfen die Zertifikate der Server, mit denen sie TLS-Sitzungen einrichten. Zertifikatsüberprüfungen wie der Aussteller des Zertifikats und die digitale Signatur sind darauf angewiesen, die Zertifikatskette bis zum ersten Stammzertifikat zu überprüfen. Um die Validierungsprüfungen durchzuführen, verwenden die Webex-App und die Webex-Geräte eine Reihe vertrauenswürdiger CA-Stammzertifikate, die im Vertrauensspeicher des Betriebssystems installiert sind.

Wenn Sie einen Proxy zur TLS-Prüfung bereitgestellt haben, um den Webex Calling-Datenverkehr abzufangen, zu entschlüsseln und zu inspizieren. Stellen Sie sicher, dass das vom Proxy bereitgestellte Zertifikat (anstatt des Webex-Dienstzertifikats) von einer Zertifizierungsstelle signiert ist und das Stammzertifikat im Vertrauensspeicher Ihrer Webex-App oder Ihres Webex-Geräts installiert ist.

  • Für die Webex-App: Installieren Sie das CA-Zertifikat, das zum Signieren des Zertifikats durch den Proxy im Betriebssystem des Geräts verwendet wird.

  • Für Webex Room-Geräte und Cisco Multiplattform-IP-Telefone: Öffnen Sie eine Serviceanfrage beim TAC-Team, um das CA-Zertifikat zu installieren.

Diese Tabelle zeigt die Webex-App und Webex-Geräte, die die TLS-Inspektion durch Proxyserver unterstützen

Produkt

Unterstützt benutzerdefinierte, vertrauenswürdige Zertifizierungsstellen für die TLS-Inspektion

Webex-App (Windows, Mac, iOS, Android, Web)

Ja

Webex Room-Geräte

Ja

Cisco IP Multiplattform-Telefone (MPP)

Ja

Konfiguration der Firewall

Cisco unterstützt Webex Calling- und Webex Aware-Dienste in sicheren Cisco- und Amazon Web Services (AWS)-Rechenzentren. Amazon hat seine IP-Subnetze für die alleinige Nutzung durch Cisco reserviert und die Dienste in diesen Subnetzen innerhalb der virtuellen privaten AWS-Cloud gesichert.

Konfigurieren Sie Ihre Firewall so, dass die Kommunikation von Ihren Geräten, Anwendungen der App und internetbasierten Diensten ordnungsgemäß ausgeführt werden kann. Diese Konfiguration ermöglicht den Zugriff auf alle unterstützten Webex Calling- und Webex Aware-Cloud-Dienste, Domänennamen, IP-Adressen, Ports und Protokolle.

Führen Sie eine Whitelist durch oder öffnen Sie den Zugriff auf Folgendes, damit die Webex Calling- und Webex Aware-Dienste korrekt funktionieren.

  • Die im Abschnitt Domänen und URLs für Webex Calling-Dienste genannten URLs/Domänen

  • IP-Subnetze, Ports und Protokolle, die im Abschnitt IP-Subnetze für Webex Calling-Dienste aufgeführt sind

  • Wenn Sie die Cloud-Zusammenarbeitsdienste der Webex-Suite in ihrer Organisation, Webex Meetings, Messaging, Webex Attendant-Konsole und andere Dienste verwenden, stellen Sie sicher, dass Sie die IP-Subnetze haben. Die in diesen Artikeln genannten Domänen/URLs sind offen Netzwerkanforderungen für Webex-Dienste und Netzwerkanforderungen für Attendant-Konsole

Wenn Sie nur eine Firewall verwenden, wird das Filtern von Webex Calling-Datenverkehr mit IP-Adressen allein nicht unterstützt, da einige der IP-Adresspools dynamisch sind und sich jederzeit ändern können. Aktualisieren Sie Ihre Regeln regelmäßig. Wenn Sie Ihre Firewall-Regelliste nicht aktualisieren, kann sich dies auf das Benutzererlebnis auswirken. Cisco unterstützt das Filtern einer Teilmenge von IP-Adressen basierend auf einer bestimmten geografischen Region oder einem Clouddienstanbieter nicht. Das Filtern nach Regionen kann zu einer erheblichen Verschlechterung des Anruferlebnisses führen.


 

Hinweis: Cisco behält keine dynamisch ändernden IP-Adresspools bei, daher wird sie nicht in diesem Artikel aufgeführt.

Wenn Ihre Firewall keine Domänen-/URL-Filterung unterstützt, verwenden Sie eine Enterprise Proxy-Server-Option. Diese Option filtert/erlaubt nach URL/Domäne die HTTPs, die den Datenverkehr an Webex Calling- und Webex Aware-Dienste in Ihrem Proxyserver signalisieren, bevor er an Ihre Firewall weitergeleitet wird.

Sie können den Datenverkehr mithilfe der Port- und IP-Subnetzfilterung für Anrufmedien konfigurieren. Da der Medienverkehr einen direkten Zugriff auf das Internet erfordert, wählen Sie die URL-Filteroption für den Signalisierungsverkehr aus.

Für Webex Calling ist UDP das bevorzugte Transportprotokoll von Cisco für Medien und es empfiehlt, nur SRTP über UDP zu verwenden. TCP und TLS als Transportprotokolle für Medien werden für Webex Calling in Produktionsumgebungen nicht unterstützt. Die Verbindungsorientierung dieser Protokolle wirkt sich auf die Medienqualität über verlustbehaftete Netzwerke aus. Wenn Sie Fragen zum Transportprotokoll haben, erstellen Sie ein Support-Ticket.

Domänen und URLs für Webex Calling-Dienste

Ein * am Anfang einer URL (z. B. *.webex.com) zeigt an, dass Dienste in der Top-Level-Domain und allen Unterdomänen zugänglich sein müssen.

Domäne/URL

Beschreibung

Webex-Apps und -Geräte, die diese Domänen/URLs verwenden

Cisco Webex-Dienste

*.broadcloudpbx.com

Webex-Autorisierungsmikrodienste für den Querstart vom Control Hub zum Anrufadministratorportal.

Control Hub

*.broadcloud.com.au

Webex Calling-Dienste in Australien.

Alle

*.broadcloud.eu

Webex Calling-Dienste in Europa.

Alle

*.broadcloudpbx.net

Anruf-Client-Konfiguration und Managementdienste.

Webex-Apps

*.webex.com

*.cisco.com

Kern-Webex Calling- und Webex Aware-Dienste

  1. Identitätsbereitstellung

  2. Identitätsspeicher

  3. Authentifizierung

  4. OAuth-Dienste

  5. Geräteaufnahme

  6. Cloud Connected UC

Wenn ein Telefon zum ersten Mal oder nach dem Zurücksetzen auf die Werkseinstellungen eine Verbindung zu einem Netzwerk herstellt und keine DHCP-Optionen eingerichtet sind, kontaktiert es einen Geräteaktivierungsserver für eine Zero-Touch-Bereitstellung. Neue Telefone verwenden activate.cisco.com und Telefone mit einer Firmware-Version vor 11.2(1) verwenden weiterhin webapps.cisco.com für die Bereitstellung.

Laden Sie die Geräte-Firmware und die Gebietsaktualisierungen von binaries.webex.com herunter.

Erlauben Sie Cisco Multiplattform-Telefonen (MPPs), die älter als Version 12.0.3 sind, auf sudirenewal.cisco.com über Port 80 zuzugreifen, um das vom Hersteller installierte Zertifikat (MIC) zu erneuern und einen Secure Unique Device Identifier (SUDI) zu verwenden. Weitere Informationen finden Sie unter Feldhinweis .

Alle

*.ucmgmt.cisco.com

Webex Calling-Dienste

Control Hub

*.wbx2.com und *.ciscospark.com

Wird für das Cloud-Bewusstsein verwendet, um Webex Calling- und Webex Aware-Dienste während und nach dem Onboarding zu erreichen.

Diese Dienste sind notwendig für

  • Verwaltung von Apps und Geräten

  • Dienstverwaltung für den Anwendungsbenachrichtigungsmechanismus

Alle

*.webexapis.com

Webex-Mikrodienste, die Ihre Webex-App-Anwendungen und Webex-Geräte verwalten.

  1. Profilbilddienst

  2. Whiteboard-Dienst

  3. Proximity-Dienst

  4. Präsenzservice

  5. Registrierung abgelehnt

  6. Kalenderdienst

  7. Gerät suchen

Alle

*.webexconnect.com

Webex-Messagingdienst – allgemeiner Dateispeicher, einschließlich:

  1. Benutzerleitungen

  2. Transcodierte Dateien

  3. Bilder

  4. Screenshot

  5. Whiteboard-Inhalt

  6. Client- und Geräteprotokolle

  7. Profilbilder

  8. Branding-Logos

  9. Protokolldateien

  10. Massen-CSV-Exportdateien und -Importdateien (Control Hub)

Webex Apps Messaging-Dienste.


 

Dateispeicherung mit webexcontent.com im Oktober 2019 durch clouddrive.com ersetzt

*.accompany.com

Integration von People Insights

Webex-Apps

Zusätzliche Webex-bezogene Dienste (Domänen von Drittanbietern)

*.appdynamics.com

*.eum-appdynamics.com

Leistungsverfolgung, Fehler- und Absturzerfassung, Sitzungsmetriken.

Control Hub

*.sipflash.com

Geräteverwaltungsdienste. Firmware-Upgrades und sichere Onboarding-Zwecke.

Webex-Apps

*.walkme.com *.walkmeusercontent.com

Client für Webex-Benutzerleitfaden. Bietet einen Rundgang zum Onboarding und zur Nutzung für neue Benutzer.

Klicken Sie hier, um weitere Informationen zu WalkMe zu erhalten.

Webex-Apps

*.google.com

*.googleapis.com

Benachrichtigungen an Webex-Apps auf Mobilgeräten (Beispiel: neue Nachricht, wenn der Anruf angenommen wird)

Informationen zu IP-Subnetzen finden Sie unter diesen Links.

Google Firebase Cloud Messaging (FCM)-Dienst

Apple Push-Benachrichtigungsdienst (APNS)


 

Für APNS listet Apple die IP-Subnetze für diesen Dienst auf.

Webex-App

IP-Subnetze für Webex Calling-Dienste

IP-Subnetze für Webex Calling-Dienste

23.89.0.0/16

85.119.56.0/23

128.177.14.0/24

128.177.36.0/24

135.84.168.0/21

139.177.64.0/21

139.177.72.0/23

144.196.0.0/16

150.253.128.0/17

163.129.0.0/16

170.72.0.0/16

170.133.128.0/18

185.115.196.0/22

199.19.196.0/23

199.19.199.0/24

199.59.64.0/21

Zweck der Verbindung:

QuelladressenQuellportsProtokollZieladressenZielportsHinweise
Anrufsignalisierung an Webex Calling (SIP TLS)Externe NIC des lokalen Gateways8000-65535TCPSiehe IP-Subnetze für Webex Calling-Dienste.5062, 8934

Diese IPs/Ports werden für eine ausgehende SIP-TLS-Anrufsignalisierung von lokalen Gateways, Geräten und Anwendungen (Quelle) an die Webex Calling-Cloud (Ziel) benötigt.

Port 5062 (erforderlich für zertifikatbasierten Trunk). Und Port 8934 (erforderlich für registrierungsbasierten Trunk

Geräte5060-50808934
Webex-AppVorübergehend (vom Betriebssystem abhängig)
Anrufsignalisierung von Webex Calling (SIP TLS) an lokales Gateway

Webex Calling-Adressbereich.

Siehe IP-Subnetze für Webex Calling-Dienste.

8934TCPIP oder IP-Bereich, der vom Kunden für sein lokales Gateway ausgewählt wurdeVom Kunden ausgewählter Port- oder Portbereich für sein lokales Gateway

Gilt für zertifikatbasierte lokale Gateways. Es ist erforderlich, eine Verbindung von Webex Calling zu einem lokalen Gateway herzustellen.

Ein registrierungsbasiertes lokales Gateway funktioniert bei der Wiederverwendung einer Verbindung, die über das lokale Gateway erstellt wurde.

Zielport ist vom Kunden ausgewählt Trunks konfigurieren

Anrufmedien an Webex Calling (STUN, SRTP/SRTCP, T38)Externe NIC des lokalen Gateways8000-48199 <UNK> <UNK> *UDPSiehe IP-Subnetze für Webex Calling-Dienste.

5004, 9000 (STUN-Ports)

Audio: 8500-8599

Video: 8600-8699

19560-65535 (SRTP über UDP)

  • Diese IPs/Ports werden für ausgehende SRTP-Anrufmedien von lokalen Gateways, Geräten und Anwendungen (Quelle) an die Webex Calling-Cloud (Ziel) benötigt.

  • Bei Anrufen innerhalb der Organisation, für die STUN, ICE-Verhandlung erfolgreich ist, wird das Medienrelay in der Cloud als Kommunikationspfad entfernt. In solchen Fällen erfolgt der Medienfluss direkt zwischen den Apps/Geräten des Benutzers.

    Zum Beispiel: Wenn die Medienoptimierung erfolgreich ist, sendet die Webex-App Medien direkt zwischen den einzelnen Ports in den Portbereichen 8500–8699 und Geräte senden Medien direkt an die anderen Ports in den Portbereichen 19560–19661.

  • Erlauben Sie für bestimmte Netzwerktopologien, bei denen Firewalls innerhalb eines Kundenstandorts verwendet werden, den Zugriff auf die genannten Quell- und Zielportbereiche innerhalb Ihres Netzwerks, damit die Medien durchfließen können.

    Beispiel: Für die Webex-App den Quell- und Zielportbereich zulassen

    Audio:8500-8599 Video:8600-8699

Geräte:19560-19660
Webex-Apps

Audio: 8500-8599

Video: 8600-8699

Anrufmedien von Webex Calling (SRTP/SRTCP, T38)

Webex Calling-Adressbereich.

Siehe IP-Subnetze für Webex Calling-Dienste.

19560-65535 (SRTP über UDP)UDPIP oder IP-Bereich, der vom Kunden für sein lokales Gateway ausgewählt wurdeVom Kunden ausgewählter Medienportbereich für sein lokales Gateway
Anrufsignalisierung an PSTN-Gateway (SIP TLS)Interne NIC des lokalen Gateways8000-65535TCPIhr ITSP-PSTN-GW oder Unified CMHängt von PSTN-Option ab (Beispiel: normalerweise 5060 oder 5061 für Unified CM)
Anrufmedien an PSTN-Gateway (SRTP)Interne NIC des lokalen Gateways8000-48199 <UNK> <UNK> *UDPIhr ITSP-PSTN-GW oder Unified CMHängt von PSTN-Option ab (Beispiel: normalerweise 5060 oder 5061 für Unified CM)
Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte)Webex Calling-GeräteVorübergehendTCP

3.20.185.219

3.130.87.169

3.134.166.179

52.26.82.54

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970, 80

Erforderlich aus folgenden Gründen:

  1. Migration von Unternehmenstelefonen (Cisco Unified CM) zu Webex Calling. Weitere Informationen finden Sie unter upgrade.cisco.com. cloudupgrader.webex.com verwendet Ports: 6970,443 für den Firmware-Migrationsprozess.

  2. Firmware-Upgrades und sicheres Onboarding von Geräten (MPP und Raum- oder Schreibtischtelefone) unter Verwendung des 16-stelligen Aktivierungscodes (GDS)

  3. Für CDA/EDOS – MAC-adressbasierte Bereitstellung. Wird von Geräten (MPP-Telefone, ATAs und SPA-ATAs) mit neuerer Firmware verwendet.

  4. Stellen Sie für Cisco ATAs sicher, dass die Geräte die minimale Firmware 11.1.0MSR3-9 verwenden.

  5. Wenn ein Telefon zum ersten Mal oder nach dem Zurücksetzen auf die Werkseinstellungen eine Verbindung zu einem Netzwerk herstellt und keine DHCP-Optionen eingerichtet sind, kontaktiert es einen Geräteaktivierungsserver für eine Zero-Touch-Bereitstellung. Neue Telefone verwenden „activate.cisco.com“ anstelle von „webapps.cisco.com“ für die Bereitstellung. Telefone mit einer Firmware-Version vor 11.2(1) verwenden weiterhin „webapps.cisco.com“. Es wird empfohlen, alle diese IP-Subnetze zuzulassen.

  6. Erlauben Sie Cisco Multiplattform-Telefonen (MPPs), die älter als Version 12.0.3 sind, auf sudirenewal.cisco.com über Port 80 zuzugreifen, um das vom Hersteller installierte Zertifikat (MIC) zu erneuern und eine sichere eindeutige Geräte-ID (SUDI) zu besitzen. Weitere Informationen finden Sie unter Field Notice

Webex-App-KonfigurationWebex-AnwendungenVorübergehendTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Wird für die ID-Broker-Authentifizierung, Webex-App-Konfigurationsdienste für Clients, browserbasierter Webzugriff für die Selbsthilfe UND Administrativen Schnittstellenzugriff verwendet.

 
Der TCP-Port 8443 wird von der Webex-App im Cisco Unified CM-Setup zum Herunterladen der Konfiguration verwendet. Nur Kunden, die über das Setup eine Verbindung zu Webex Calling herstellen, müssen den Port öffnen.
Synchronisierung der Gerätezeit (NTP)Webex Calling-Geräte51494UDPSiehe IP-Subnetze für Webex Calling-Dienste.123Diese IP-Adressen sind für die Zeitsynchronisierung für Geräte (MPP-Telefone, ATAs und SPA-ATAs) erforderlich.

Domain Name System (DNS)-Lookup

Webex Calling-Geräte, Webex-App und Webex-GeräteVorübergehendUDP und TCPVom Host definiert53Wird für die DNS-Suche verwendet, um die IP-Adressen der Webex-Server in der Cloud zu ermitteln. Auch wenn DNS-Suchen in der Regel über UDP erfolgen, erfordern einige möglicherweise TCP, wenn die Abfrageantworten nicht in UDP-Pakete passen.
Network Time Protocol (NTP)Webex App und Webex-Geräte123UDPVom Host definiert123Zeitsynchronisierung
CScanWebbasiertes Tool zur Vorbereitung der Netzwerkfähigkeit für Webex CallingVorübergehendTCPSiehe IP-Subnetze für Webex Calling-Dienste.8934 und 443Webbasiertes Tool zur Vorbereitung der Netzwerkbereitschaft für Webex Calling. Weitere Informationen finden Sie unter cscan.webex.com.
UDP19560-19660
Zusätzliche Webex Calling- und Webex Aware-Dienste (Drittanbieter)
Push-Benachrichtigungen APNS- und FCM-DiensteWebex Calling-AnwendungenVorübergehendTCP

Siehe IP-Subnetze unter den Links

Apple Push-Benachrichtigungsdienst (APNS)

Google-Firebase Cloud Messaging (FCM)

443, 2197, 5228, 5229, 5230, 5223Benachrichtigungen an Webex-Apps auf Mobilgeräten (Beispiel: Wenn Sie eine neue Nachricht erhalten oder ein Anruf angenommen wird)

 

  • † Der CUBE-Medienportbereich kann mit dem RTP-Portbereich konfiguriert werden.

  • * Medienports für Geräte und Anwendungen, die dynamisch im SRTP-Port zugewiesen werden, wüten. SRTP-Ports sind sogar nummerierte Ports, und der entsprechende SRTCP-Port wird mit dem aufeinanderfolgenden ungeraden nummerierten Port zugewiesen.

  • Wenn eine Proxyserver-Adresse auf einem Webex Room-Gerät konfiguriert ist, wird der TLS -Signalisierungsverkehr an den Proxy gesendet. Medien, die SRTP über UDP übertragen werden, fließen direkt in Ihre Firewall anstelle des Proxyservers.

  • Wenn Sie NTP- und DNS-Dienste in Ihrem Unternehmensnetzwerk verwenden, öffnen Sie die Ports 53 und 123 über Ihre Firewall.

Servicequalität (QoS)

Ermöglicht Ihnen das Aktivieren oder Deaktivieren des QoS-Taggings von Paketen vom lokalen Gerät zur Webex Calling-Plattform. Mit QoS können Sie Echtzeit-Datenverkehr gegenüber anderen Datenverkehr priorisieren. Wenn Sie diese Einstellung aktivieren, werden die QoS-Markierungen für Apps und Geräte geändert, die SIP-Signalisierung und Medien verwenden.

QuelladressenDatenverkehrstypZieladressenQuellportsZielportsDSCP-Klasse und -Wert
Webex-AppAudio

Verweisen auf IP-Subnetze, Domänen und URLs für Webex Calling-Dienste

8500-85998500-8599, 19560-65535Schnellweiterleitung (46)
Webex-AppVideo8600-86998600-8699, 19560-65535Zugesicherte Weiterleitung 41 (34)
Webex-AppSignalisierungVorübergehend (vom Betriebssystem abhängig)8934CS0 (0)
Webex-Geräte (MPPs und Raum)Audio und Video19560-1966019560-65535

Schnellweiterleitung (46) und

Zugesicherte Weiterleitung 41 (34)

Webex-GeräteSignalisierung5060-50808934Klassenauswahl 3 (24)

 

  • Erstellen Sie ein separates QoS-Profil für Audio und Video/Share, da sie unterschiedliche Quellportbereiche haben, um den Datenverkehr unterschiedlich zu markieren.

  • Für Windows-Clients: Wenden Sie sich an Ihr lokales Account-Team, um die UDP-Quellportdifferenzierung für Ihre Organisation zu aktivieren. Ohne die Aktivierung können Sie mithilfe der Windows QoS-Richtlinien (GPO) nicht zwischen Audio und Video/Freigabe unterscheiden, da die Quellports für Audio/Video/Freigabe gleich sind. Weitere Informationen finden Sie unter Medienquellenportbereiche für die Webex-App aktivieren

  • Konfigurieren Sie für Webex-Geräte die Änderungen der QoS-Einstellung über die Geräteeinstellungen von Control Hub. Weitere Informationen finden Sie unter Geräteeinstellungen in Webex-Calling konfigurieren und ändern

Webex Meetings/Messaging – Netzwerkanforderungen

Für Kunden, die die Webex Suite der Cloud Collaboration-Dienste, in der Webex Cloud registrierte Produkte verwenden, integrieren Sie die MPP-Geräte in die Webex Cloud für Dienste wie Anrufprotokoll, Verzeichnissuche, Meetings und Messaging. Stellen Sie sicher, dass die in diesem Artikel genannten Domänen/URLs/IP-Adressen/Ports offen sind Netzwerkanforderungen für Webex-Dienste .

Netzwerkanforderungen für Webex for Government (FedRAMP)

Für Kunden, die eine Liste der Domänen, URLs, IP-Adressbereiche und Ports für Webex for Government-Dienste (FedRAMP) benötigen, finden Sie hier Informationen: Netzwerkanforderungen für Webex for Government

Netzwerkanforderungen für die Webex Attendant-Konsole

Stellen Sie für Kunden, die eine Attendant-Konsole verwenden – Empfangsmitarbeiter, Attendants und Operatoren – sicher, dass Domänen/URLs/IP-Adressen/Ports/Protokolle offen sind Netzwerkanforderungen für eine Attendant-Konsole

Erste Schritte mit dem lokalen Webex Calling-Gateway

Für Kunden, die die lokale Gateway-Lösung mit Webex Calling für lokale PSTN- und Drittanbieter-SBCs-Interoperabilität verwenden, lesen Sie den Artikel Erste Schritte mit dem lokalen Gateway

Referenzen

Informationen zu den Neuerungen in Webex Calling finden Sie unter Neuerungen in Webex Calling

Weitere Informationen zu den Sicherheitsanforderungen für Webex Calling finden Sie im Artikel

Webex Calling-Medienoptimierung mit Interactive Connectivity Establishment (ICE)

Revisionsverlauf des Dokuments

Datum

Wir haben die folgenden Änderungen an diesem Artikel vorgenommen

Donnerstag, 2. Juli 2020

Das IP-Subnetz 52.26.82.54 wurde wieder hinzugefügt, da es für die Gerätekonfiguration und Firmware-Verwaltung von Cisco ATA erforderlich ist.

1. Juli 2021

Mit den folgenden Details aktualisiert:

  • Unterstützte QoS-Werte (TOS/DSCP) für Webex Calling (Apps, Geräte)

  • Netzwerkdiagramm aktualisiert

  • Einschließlich des Links für Netzwerkanforderungen im Zusammenhang mit der Webex Attendant Console.

25. Juni 2024

Die Verwendung der beiden SRTP-/SRTCP-Portbereiche für die Webex Calling-Medienspezifikation wurde aktualisiert.

11. Juni 2021

Die Domäne „huton-dev.com“ wurde entfernt, da sie nicht verwendet wird.

Dienstag, 26. Mai 2020

Die Verwendung der beiden SRTP-/SRTCP-Portbereiche für die Webex Calling-Medienspezifikation wurde aktualisiert.

23. April 2021

Die IP-Subnetze für Webex Calling-Dienste wurden mit 163.129.0.0/17 aktualisiert, um die Markterweiterung von Webex Calling für die Region Indien zu ermöglichen.

18. Dezember 2020

Enthält die URL sudirenewal.cisco.com und Port 80-Anforderung für die Gerätekonfiguration und Firmware-Verwaltung der MIC-Erneuerung des Cisco MPP-Telefons.

Freitag, 11. Dezember 2020

Die IP-Subnetze für Webex Calling-Dienste wurden aktualisiert und enthalten nun eine größere Anzahl von IP-Adressen.

150.253.209.128/25 – geändert in 150.253.128.0/17

29. November 2021

Die IP-Subnetze für Webex Calling-Dienste wurden aktualisiert und enthalten nun eine größere Anzahl von IP-Adressen, um die Erweiterung der Webex Calling-Region für zukünftiges Wachstum zu ermöglichen.

144.196.33.0/25 – geändert in 144.196.0.0/16

Die Abschnitte „IP-Subnetze“ für Webex Calling-Dienste unter Webex Calling (SIP TLS) und „Anrufmedien zu Webex Calling“ (STUN, SRTP) wurden aktualisiert, um eine bessere Übersicht über zertifikatbasierte Übertragungswege und die Firewall-Anforderungen für das lokale Gateway zu erhalten.

14. August 2023

Wir haben die folgenden IP-Adressen 144.196.33.0/25 und 150.253.156.128/25 hinzugefügt, um höhere Kapazitätsanforderungen für Edge- und Webex Calling-Dienste zu unterstützen.


 

Dieser IP-Bereich wird nur in der Region USA unterstützt.

10. Juli 2023

Link https://binaries.webex.com zur Installation der Cisco MPP-Firmware hinzugefügt.

Dienstag, 7. März 2023

Wir haben den gesamten Artikel überarbeitet und umfassen:

  1. Enthaltene Optionen für Proxy-Unterstützung.

  2. Geändertes Anrufflussdiagramm

  3. Vereinfachte Domänen/URLs/IP-Subnetzanteile für Webex Calling- und Webex Aware-Dienste

  4. IP-Subnetzbereich 170.72.0.0/16 für Webex Calling- und Webex Aware-Dienste hinzugefügt.

    Die folgenden Bereiche 170.72.231.0, 170.72.231.10, 170.72.231.161 und 170.72.242.0/24 wurden entfernt

5. März 2020

Der Artikel wird wie folgt aktualisiert:

  • Der von Anwendungen verwendete UDP-SRTP-Portbereich (8500-8700) wurde hinzugefügt.

  • Die Ports für die Pushbenachrichtigungen APNS und FCM-Dienste wurden hinzugefügt.

  • Teilen Sie den CScan-Portbereich für UDP und TCP auf.

  • Der Abschnitt Referenzen wurde hinzugefügt.

15. November 2022

Wir haben die folgenden IP-Adressen zur Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte) hinzugefügt:

  • 170.72.231.0

  • 170.72.231.10

  • 170.72.231.161

Wir haben die folgenden IP-Adressen aus der Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte) entfernt:

  • 3.20.118.133

  • 3.20.228.133

  • 3.23.144.213

  • 3.130.125.44

  • 3.132.162.62

  • 3.140.117.199

  • 18.232.241.58

  • 35.168.211.203

  • 50.16.236.139

  • 52.45.157.48

  • 54.145.130.71

  • 54.156.13.25

  • 52.26.82.54

  • 54.68.1.225

4. November 2022

IP-Subnetz 170.72.242.0/24 für den Webex Calling-Dienst hinzugefügt.

5. September 2022

Die Cisco MPP-Firmware-Übergänge zur Verwendung von https://binaries.webex.com als Host-URL für MPP-Firmware-Upgrades in allen Regionen. Diese Änderung verbessert die Leistung des Firmware-Upgrades.

30. August 2021

Die Referenz auf Port 80 wurde aus den Zeilen „Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte)“, „Anwendungskonfiguration“ und „CScan“ in der Porttabelle entfernt, da keine Abhängigkeit besteht.

18. August 2022

Keine Änderung an der Lösung. Die Zielports 5062 (für den zertifikatbasierten Trunk erforderlich) und 8934 (für den registrierungsbasierten Trunk erforderlich) für die Anrufsignalisierung an Webex Calling (SIP TLS) wurden aktualisiert.

6. Juli 2022

Die IP-Adresse 54.68.1.225 wurde hinzugefügt, die für das Firmware-Upgrade von Cisco 840/860-Geräten erforderlich ist.

11. Juli 2022

Die Zielports 5062 und 8934 für die Anrufsignalisierung an Webex Calling (SIP TLS) wurden aktualisiert.

11. Juli 2022

URLs hinzugefügt, die eine vollständige Funktion der Webex Aware-Dienste unterstützen.

IP-Subnetz 23.89.154.0/25 für den Webex Calling-Dienst hinzugefügt.

27. Juni 2022

Domäne und URLs für Webex Calling-Dienste aktualisiert:

*.broadcloudpbx.com

*.broadcloud.com.au

*.broadcloud.eu

*.broadcloudpbx.net

15. Juni 2020

Die folgenden Ports und Protokolle wurden unter IP-Adressen und Ports für Webex Calling-Dienste hinzugefügt:

  • Zweck der Verbindung: WebEx-Funktionen

  • Quelladressen Webex Calling-Geräte

  • Quellports Vorübergehend

  • Protokoll: TCP

  • Zieladressen Siehe IP-Subnetze und Domänen, definiert unter Webex Meetings/Messaging – Netzwerkanforderungen.

  • Zielports 443

    Notizen: Die Webex Calling-Geräte verwenden diese IP-Adressen und Domänen für die Schnittstelle mit Webex Cloud-Diensten wie Verzeichnis, Anrufprotokoll und Meetings.

Aktualisierte Informationen im Abschnitt Webex Meetings/Messaging – Netzwerkanforderungen

4. Mai 2022

IP-Subnetz 52.26.82.54/24 zu 52.26.82.54/32 für Webex Calling-Dienst hinzugefügt

4. Mai 2022

IP-Subnetz 52.26.82.54/24 für Webex Calling-Dienst hinzugefügt

6. April 2022

Interner und externer UDP-Portbereich des lokalen Gateways auf 8000-48198 † aktualisiert

5. April 2022

Die folgenden IP-Subnetze für den Webex Calling-Dienst wurden hinzugefügt:

  • 23.89.0.0/16

  • 23.89.1.128/25

24. März 2022

Die folgenden IP-Subnetze für den Webex Calling-Dienst wurden hinzugefügt:

  • 23.89.33.0/24

  • 150.253.209.128/25

28. September 2021

4 neue IP-Subnetze für den Webex Calling-Dienst hinzugefügt:

  • 23.89.76.128/25

  • 170.72.29.0/24

  • 170.72.17.128/25

  • 170.72.0.128/25

Freitag, 2. April 2021

*.ciscospark.com wurde unter Domänen und URLs für Webex Calling-Dienste hinzugefügt, um Webex Calling-Anwendungsfälle in der Webex-App zu unterstützen.

25. März 2021

Es wurden 6 neue IP-Bereiche für activate.cisco.com hinzugefügt, die am 8. Mai 2021 in Kraft treten.

  • 72.163.15.64/26

  • 72.163.15.128/26

  • 173.36.127.0/26

  • 173.36.127.128/26

  • 192.133.220.0/26

  • 192.133.220.64/26

Donnerstag, 4. März 2021

Einzelne IPs und kleinere IP-Bereiche von Webex Calling wurden durch vereinfachte Bereiche in einer separaten Tabelle ersetzt, um das Verständnis der Firewall-Konfiguration zu erleichtern.

Freitag, 26. Februar 2021

5004 wurde als Zielport für Anrufmedien zu Webex Calling (STUN, SRTP) hinzugefügt, um Interactive Connectivity Establishment (ICE) zu unterstützen, die im April 2021 in Webex Calling verfügbar sein werden.

Montag, 22. Februar 2021

Domänen und URLs werden jetzt in einer separaten Tabelle aufgelistet.

Die Tabelle „IP-Adressen und Ports“ wurde für die Gruppen-IP-Adressen der gleichen Dienste angepasst.

Hinzufügen der Anmerkungsspalte zur Tabelle "IP-Adressen und Ports", um die Anforderungen zu verstehen.

Die folgenden IP-Adressen wurden in vereinfachte Bereiche für die Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte) verschoben:

activate.cisco.com

  • 72.163.10.125 -> 72.163.10.96/27

  • 173.37.149.125 -> 173.37.149.96/27

webapps.cisco.com

  • 173.37.146.134 -> 173.37.146.128/25

  • 72.163.10.134 -> 72.163.10.128/25

Die folgenden IP-Adressen wurden für die Anwendungskonfiguration hinzugefügt, weil der Cisco Webex-Client im März 2021 auf einen neueren DNS-SRV in Australien verwiesen wird.

  • 199.59.64.237

  • 199.59.67.237

Donnerstag, 21. Januar 2021

Wir haben die folgenden IP-Adressen zur Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte) hinzugefügt:

  • 3.134.166.179

  • 50.16.236.139

  • 54.145.130.71

  • 72.163.10.125

  • 72.163.24.0/23

  • 173.37.26.0/23

  • 173.37.146.134

Wir haben die folgenden IP-Adressen aus der Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte) entfernt:

  • 35.172.26.181

  • 52.86.172.220

  • 52.203.31.41

Wir haben die folgenden IP-Adressen zur Anwendungskonfiguration hinzugefügt:

  • 62.109.192.0/19

  • 64.68.96.0/19

  • 207.182.160.0/19

  • 150.253.128.0/17

Wir haben die folgenden IP-Adressen aus der Anwendungskonfiguration entfernt:

  • 64.68.99.6

  • 64.68.100.6

Wir haben die folgenden Portnummern aus der Anwendungskonfiguration entfernt:

  • 1081, 2208, 5222, 5280-5281, 52644-52645

Wir haben die folgenden Domänen zur Anwendungskonfiguration hinzugefügt:

  • idbroker-b-us.webex.com

  • idbroker-eu.webex.com

  • ty6-wxt-jp.bcld.webex.com

  • os1-wxt-jp.bcld.webex.com

Mittwoch, 23. Dezember 2020

Den Port-Referenzbildern wurden neue IP-Adressen für die Anwendungskonfiguration hinzugefügt.

Dienstag, 22. Dezember 2020

Die Zeile „Anwendungskonfiguration“ in den Tabellen wurde aktualisiert und enthält nun die folgenden IP-Adressen: 135.84.171.154 und 135.84.172.154.

Die Netzwerkdiagramme wurden verborgen, bis diese IP-Adressen hinzugefügt wurden.

Freitag, 11. Dezember 2020

Die Zeilen „Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte)“ und „Anwendungskonfiguration“ für die unterstützten kanadischen Domänen wurden aktualisiert.

Freitag, 16. Oktober 2020

Die Anrufsignalisierung und die Medieneinträge wurden mit den folgenden IP-Adressen aktualisiert:

  • 139.177.64.0/24

  • 139.177.65.0/24

  • 139.177.66.0/24

  • 139.177.67.0/24

  • 139.177.68.0/24

  • 139.177.69.0/24

  • 139.177.70.0/24

  • 139.177.71.0/24

  • 139.177.72.0/24

  • 139.177.73.0/24

Mittwoch, 23. September 2020

Unter CScan wurde 199.59.64.156 durch 199.59.64.197 ersetzt.

Freitag, 14. August 2020

Weitere IP-Adressen zur Unterstützung der Einführung von Rechenzentren in Kanada wurden hinzugefügt:

Anrufsignalisierung an Webex Calling (SIP TLS) – 135.84.173.0/25,135.84.174.0/25, 199.19.197.0/24, 199.19.199.0/24

Mittwoch, 12. August 2020

Weitere IP-Adressen zur Unterstützung der Einführung von Rechenzentren in Kanada wurden hinzugefügt:

  • Anrufmedien zu Webex Calling (SRTP) – 135.84.173.0/25,135.84.174.0/25, 199.19.197.0/24, 199.19.199.0/24

  • Anrufsignalisierung an öffentlich adressierte Endpunkte (SIP TLS) – 135.84.173.0/25,135.84.174.0/25, 199.19.197.0/24, 199.19.199.0/24

  • Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte) – 135.84.173.155,135.84.174.155

  • Synchronisierung der Gerätezeit – 135.84.173.152, 135.84.174.152

  • Anwendungskonfiguration – 135.84.173.154,135.84.174.154

Mittwoch, 22. Juli 2020

Die folgende IP-Adresse wurde zur Unterstützung der Einführung von Rechenzentren in Kanada hinzugefügt: 135.84.173.146

Dienstag, 9. Juni 2020

Der CScan-Eintrag wurde wie folgt geändert:

  • Eine der IP-Adressen wurde korrigiert – 199.59.67.156 in 199.59.64.156 geändert

  • Neue Funktionen erforderten neue Ports sowie UDP – 19560-19760

Mittwoch, 11. März 2020

Wir haben die folgenden Domänen und IP-Adressen zur Anwendungskonfiguration hinzugefügt:

  • jp.bcld.webex.com – 135.84.169.150

  • client-jp.bcld.webex.com

  • idbroker.webex.com – 64.68.99.6, 64.68.100.6

Wir haben die folgenden Domänen mit zusätzlichen IP-Adressen zur Gerätekonfiguration und Firmware-Verwaltung aktualisiert:

  • cisco.broadcloud.eu – 85.119.56.198, 85.119.57.198

  • webapps.cisco.com – 72.163.10.134

  • activation.webex.com – 35.172.26.181, 52.86.172.220

  • cloudupgrader.webex.com – 3.130.87.169, 3.20.185.219

Donnerstag, 27. Februar 2020

Wir haben die folgenden Domänen und Ports zur Gerätekonfiguration und Firmware-Verwaltung hinzugefügt:

cloudupgrader.webex.com – 443, 6970