Щоб виконати успішне розгортання служби викликів, потрібно правильно налаштувати брандмауер. Webex Calling використовує SIP і HTTPS для надсилання сигналів викликів, а також пов'язані адреси та порти для мультимедіа, мережевого підключення та підключення до шлюзу, оскільки Webex Calling є глобальною службою.

Не всі конфігурації брандмауера вимагають, щоб порти були відкриті. Однак, якщо ви використовуєте внутрішні та зовнішні правила, ви повинні відкрити порти для потрібних протоколів, щоб надавати послуги.

Трансляція мережевих адрес (NAT)

Функції трансляції мережевих адрес (NAT) і трансляції адрес портів (PAT) застосовуються на кордоні між двома мережами для трансляції адресних просторів або для запобігання зіткненню IP-адресних просторів.

Організації використовують технології шлюзу, як-от брандмауери та проксі-сервери, які надають послуги NAT або PAT, щоб забезпечити доступ до Інтернету до програм Webex App або пристроїв Webex, які перебувають у просторі приватних IP-адрес. Через ці шлюзи трафік із внутрішніх програм або пристроїв в Інтернет здається, що він надходить із однієї або кількох загальнодоступних IP-адрес.

  • У разі розгортання NAT не обов'язково відкривати вхідний порт на брандмауері.

  • Перевірте розмір пулу NAT, необхідний для підключення програм або пристроїв, коли кілька користувачів програм і пристроїв отримують доступ до служб Webex Calling і Webex за допомогою NAT або PAT. Переконайтеся, що пулам NAT призначено достатню кількість публічних IP-адрес, щоб запобігти вичерпанню портів. Виснаження портів призводить до того, що внутрішні користувачі та пристрої не можуть підключитися до служб Webex Calling і Webex Aware.

  • Визначте розумні періоди прив'язки та уникайте маніпуляцій із SIP на пристрої NAT.

  • Налаштуйте мінімальний тайм-аут NAT, щоб забезпечити належну роботу пристроїв. Приклад: Телефони Cisco кожні 1-2 хвилини надсилають наступне оновлення REGISTER.

  • Якщо у вашій мережі реалізовано NAT або SPI, то встановіть більший тайм-аут (не менше 30 хвилин) для підключень. Цей тайм-аут забезпечує надійне з'єднання, одночасно зменшуючи споживання заряду акумулятора мобільними пристроями користувачів.

Шлюз прикладного рівня SIP

Якщо маршрутизатор або брандмауер є сумісним із SIP, тобто в нього ввімкнено шлюз рівня програми (ALG) для SIP або подібний, рекомендується вимкнути цю функцію з метою підтримання правильної роботи служби.

Інформацію про те, як вимкнути ALG для SIP на певних пристроях, див. у відповідній документації виробника.

Підтримка проксі-сервера для Webex Calling

Більшість клієнтів розгортають інтернет-брандмауер або інтернет-проксі й брандмауер, щоб обмежувати й контролювати вхідний і вихідний трафік на базі HTTP у своїй мережі. Тим самим захищаючи свою мережу від різних форм кібератак.

Проксі виконують кілька функцій безпеки, таких як:

  • Дозволити або заблокувати доступ до певних URL-адрес.

  • Базова автентифікація

  • Пошук репутації IP-адреси/домену/імені хоста/URI

  • Розшифровка та перевірка трафіку

Після налаштування функції проксі-сервера вона застосовується до всіх програм, які використовують протокол HTTP.

Програма Webex і програми для пристроїв Webex включають наступне:

  • Служби Webex

  • Процедури активації пристроїв клієнта (CDA) за допомогою платформи хмарного забезпечення Cisco, як-от GDS, активація пристроїв EDOS, ініціалізація та підключення до хмари Webex.

  • Аутентифікація сертифіката

  • Оновлення мікропрограми

  • Звіти про статус

  • Завантаження PRT

  • Усі служби


 

Якщо налаштована адреса проксі-сервера, то на проксі-сервер надсилається лише сигнальний трафік (HTTP/HTTPS). Клієнти, які використовують SIP для реєстрації в службі Webex Calling, і пов'язані медіафайли не надсилаються на проксі-сервер. Тому дозвольте цим клієнтам проходити безпосередньо через брандмауер.

Підтримувані параметри проксі-сервера, конфігурація та типи автентифікації

Підтримувані типи проксі-серверів:

  • Явний проксі-сервер (інспектований або неінспектуючий) — налаштуйте клієнтський додаток або пристрій з явним проксі-сервером, щоб вказати сервер, який слід використовувати.

  • Прозорий проксі-сервер (без перевірки) — клієнти не налаштовані на використання певної адреси проксі-сервера та не потребують жодних змін для роботи з проксі-сервером, який не перевіряється.

  • Прозорий проксі-сервер (перевірка) — клієнти не налаштовані на використання певної адреси проксі-сервера. Зміни конфігурації HTTP не потрібні; однак вашим клієнтам або додатку, або пристрою потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. ІТ-команда використовує інспекційні проксі-сервери для забезпечення дотримання політик щодо веб-сайтів, які ви відвідуєте, і типів контенту, які заборонено.

Налаштуйте адреси проксі-серверів вручну для пристроїв Cisco та програми Webex за допомогою:

Налаштовуючи бажані типи продуктів, виберіть одну з наведених нижче конфігурацій проксі-сервера та типів автентифікації в таблиці:

Продукт

Конфігурація проксі

Тип автентифікації

Webex для Mac

Вручну, WPAD, PAC

Без автентифікації, базова, NTLM

Webex для Windows

Вручну, WPAD, PAC, GPO

Без автентифікації, базова, NTLM (2), Negotiate

Webex для iOS

Вручну, WPAD, PAC

Без автентифікації, базова, дайджест, NTLM

Webex для Android

Вручну, PAC

Без автентифікації, базова, дайджест, NTLM

Webex Web App

Підтримується через ОС

Без автентифікації, базова, дайджест, NTLM, Negotiate

Пристрої Webex

WPAD, PAC або вручну

Без автентифікації, базова, дайджест

IP-телефони Cisco

Вручну, WPAD, PAC

Без автентифікації, базова, дайджест

Video Mesh Node у Webex

Вручну

Без автентифікації, базова, дайджест, NTLM

За умовними позначеннями в таблиці:

  1. Автентифікація NTLM для Mac — реєстрація комп’ютера в домені не потрібна, у користувача запитують пароль.(2)

  2. Автентифікація Windows NTLM – підтримується, лише якщо комп'ютер увійшов до домену.

  3. Домовтеся про †- Kerberos з резервною аутентифікацією NTLM.

  4. Щоб підключити пристрій серії Cisco Webex Board, Desk або Room до проксі-сервера, перегляньте статтю Підключення пристрою серії Board, Desk або Room до проксі-сервера.

  5. Для IP-телефонів Cisco перегляньте розділ Налаштування проксі-сервера як приклад налаштування проксі-сервера та параметрів.


 

Для No Authentication, налаштуйте клієнт з адресою проксі-сервера, яка не підтримує автентифікацію. При використанні Proxy Authentication, налаштуйте за допомогою дійсних облікових даних. Проксі-сервери, які перевіряють веб-трафік, можуть створювати перешкоди для з'єднань з веб-сокетами. Якщо ця проблема виникне, обхід трафіку, що не перевіряється, до *.Webex.com може вирішити проблему. Якщо ви вже бачите інші записи, додайте крапку з комою після останнього запису, а потім введіть виняток Webex.

Налаштування проксі для ОС Windows

Microsoft Windows підтримує дві мережеві бібліотеки для трафіку HTTP (WinINet і WinHTTP), які дозволяють конфігурувати проксі-сервер. WinINet є супермножиною WinHTTP.

  1. WinInet призначений для однокористувацьких клієнтських додатків для настільних комп'ютерів

  2. WinHTTP призначена в першу чергу для багатокористувацьких серверних додатків

Вибираючи між ними, виберіть WinINet для налаштувань конфігурації проксі-сервера. Подробиці дивіться в розділі wininet-vs-winhttp.

Зверніться до розділу Налаштування списку дозволених доменів для доступу до Webex під час роботи в корпоративній мережі , щоб отримати детальну інформацію про наведене нижче.

  • Щоб гарантувати, що люди входять у програми лише за допомогою облікових записів із попередньо визначеного списку доменів.

  • Використовуйте проксі-сервер для перехоплення запитів і обмеження дозволених доменів.

Перевірка проксі й закріплення сертифіката

Програма Webex і пристрої Webex перевіряють сертифікати серверів, із якими вони встановлюють сеанси TLS. Перевірки сертифікатів, як-от видавець сертифікатів і цифровий підпис, ґрунтуються на перевірці ланцюжка сертифікатів аж до кореневого сертифіката. Для виконання перевірок перевірки програма Webex і пристрої використовують набір довірених кореневих сертифікатів ЦС, інстальованих у сховищі довіри операційної системи.

Якщо ви розгорнули проксі-сервер із перевіркою TLS для перехоплення, розшифрування та перевірки трафіку Webex Calling. Переконайтеся, що сертифікат, який надає проксі-сервер (замість сертифіката служби Webex), підписано центром сертифікації, а кореневий сертифікат інстальовано в надійному сховищі вашої програми Webex або пристрою Webex.

  • Для програми Webex: інсталюйте сертифікат ЦС, який використовується для підписання сертифіката за допомогою проксі-сервера в операційній системі пристрою.

  • Для пристроїв Webex Room і багатоплатформних IP-телефонів Cisco – відкрийте запит на обслуговування в команді TAC, щоб інсталювати сертифікат ЦС.

У цій таблиці показано програму Webex і пристрої Webex, які підтримують перевірку TLS проксі-серверами

Продукт

Підтримує перевірку TLS для користувацьких довірених ЦС

Програма Webex (для Windows, Mac, iOS, Android, інтернету)

Так

Пристрої Webex Room

Так

Багатоплатформні IP-телефони Cisco (MPP)

Так

Конфігурація брандмауера

Cisco підтримує служби Webex Calling і Webex Aware у захищених центрах обробки даних Cisco та Amazon Web Services (AWS). Amazon зарезервувала свої IP-підмережі для одноосібного використання Cisco та захистила послуги, розташовані в цих підмережах, у віртуальній приватній хмарі AWS.

Налаштуйте брандмауер так, щоб обмін даними між вашими пристроями, програмами програми та інтернет-службами виконував свої функції належним чином. Ця конфігурація надає доступ до всіх підтримуваних хмарних служб Webex Calling і Webex Aware, доменних імен, IP-адрес, портів і протоколів.

Додайте до білого списку або відкрийте доступ до наведених нижче даних, щоб служби Webex Calling і Webex Aware працювали належним чином.

Якщо ви використовуєте лише брандмауер, фільтрація трафіку Webex Calling лише за допомогою IP-адрес не підтримується, оскільки деякі пули IP-адрес динамічні та можуть змінюватися в будь-який час. Регулярно оновлюйте свої правила, якщо не оновити список правил брандмауера, це може вплинути на роботу користувачів. Cisco не підтримує фільтрацію підмножини IP-адрес на основі певного географічного регіону або постачальника хмарних послуг. Фільтрування за регіонами може призвести до серйозного погіршення якості викликів.


 

Примітка. Cisco не підтримує пули IP-адрес, що динамічно змінюються, тому вона не вказана в цій статті.

Якщо ваш брандмауер не підтримує фільтрацію доменів/URL-адрес, скористайтеся опцією корпоративного проксі-сервера. Цей параметр фільтрує/дозволяє за URL-адресою/доменом трафік, що сигналізує HTTP до служб Webex Calling і Webex Aware на вашому проксі-сервері, перш ніж пересилати їх до брандмауера.

Ви можете налаштувати трафік за допомогою фільтрації портів і підмережі IP для медіа дзвінків. Оскільки для медіатрафіку потрібен прямий доступ до Інтернету, виберіть опцію фільтрації URL-адрес для сигналізації трафіку.

Для Webex Calling UDP є кращим транспортним протоколом Cisco для медіа, і він рекомендує використовувати лише SRTP замість UDP. TCP і TLS як транспортні протоколи для медіафайлів не підтримуються для Webex Calling у робочих середовищах. Орієнтований на з'єднання характер цих протоколів впливає на якість медіа в мережах з втратами. Якщо у вас є питання щодо транспортного протоколу, підніміть запит до служби підтримки.

Домени і URL для служб Webex Calling

Позначка * на початку URL-адреси (наприклад, *.webex.com) вказує на те, що служби домену верхнього рівня і всіх дочірніх доменів повинні бути доступними.

Домен / URL

Опис

Програми й пристрої Webex, які використовують ці домени або URL-адреси

Служби Cisco Webex

*.broadcloudpbx.com

Мікрослужби авторизації Webex для перехресного запуску з Control Hub до порталу адміністрування Calling.

Control Hub

*.broadcloud.com.au

Служби Webex Calling в Австралії.

Усе

*.broadcloud.eu

Служби Webex Calling в Європі.

Усе

*.broadcloudpbx.net

Конфігурація клієнта Calling і керування послугами.

Програми Webex

*.webex.com

*.cisco.com

Основні служби Webex Calling і Webex Aware

  1. Надання ідентифікаційних даних

  2. Зберігання посвідчень

  3. Автентифікація

  4. Послуги OAuth

  5. Підключення пристрою

  6. Cloud Connected UC

Коли телефон підключається до мережі вперше або після відновлення заводських налаштувань, у разі відсутності налаштування параметрів DHCP він зв’язується із сервером активації пристрою для автоматичної підготовки. У нових телефонах для підготовки використовується activate.cisco.com. У телефонах із випуском мікропрограмного забезпечення до 11.2(1), як і раніше, використовується webapps.cisco.com.

Завантажте прошивку пристрою та оновлення локалі з binaries.webex.com.

Надайте доступ багатоплатформним телефонам Cisco (MPP) старішим за версію 12.0.3 sudirenewal.cisco.com через порт 80, щоб поновити встановлений виробником сертифікат (MIC) і мати безпечний унікальний ідентифікатор пристрою (SUDI). Подробиці дивіться в розділі Повідомлення прополе.

Усе

*.ucmgmt.cisco.com

Служби Webex Calling

Control Hub

*.wbx2.com та *.ciscospark.com

Використовується для обізнаності про хмару, щоб зв'язатися зі службами Webex Calling і Webex Aware під час і після підключення.

Ці послуги необхідні для

  • Керування програмами та пристроями

  • Додатки Механізм сповіщень додатків Управління сервісами

Усе

*.webexapis.com

Мікросервіси Webex, які керують вашими програмами Webex App і пристроями Webex.

  1. Сервіс зображень профілю

  2. Послуга білої дошки

  3. Безконтактний сервіс

  4. Послуга присутності

  5. Реєстрацію відхилено

  6. Служба календаря

  7. Шукати пристрій

Усе

*.webexcontent.com

Служба обміну повідомленнями Webex — загальне сховище файлів, зокрема:

  1. Лінії користувача

  2. Перекодовані файли

  3. Зображення

  4. Знімок екрана

  5. Вміст дошки

  6. Журнали клієнтів і пристроїв

  7. Зображення профілю

  8. Брендування логотипів

  9. Файли журналу

  10. Масовий експорт та імпорт файлів CSV (Control Hub)

Служби обміну повідомленнями Webex Apps.


 

Використання файлового сховища webexcontent.com замінено на clouddrive.com у жовтні 2019 року

*.accompany.com

Інтеграція People Insights

Програми Webex

Додаткові служби, пов’язані з Webex (сторонні домени)

*.appdynamics.com

*.eum-appdynamics.com

Відстеження продуктивності, запис помилок і аварійних збоїв, показники сеансу.

Control Hub

*.sipflash.com

Послуги з керування пристроями. Оновлення прошивки та безпечна адаптація.

Програми Webex

*.walkme.com s3.walkmeusercontent.com

Клієнт посібника користувача Webex. Надає інструкції з приєднання і використання для нових користувачів.

Щоб отримати додаткову інформацію про WalkMe, клацніть тут.

Програми Webex

*.google.com

*.googleapis.com

Сповіщення для програм Webex на мобільних пристроях (приклад: нове повідомлення, коли на дзвінок відповідають)

Щоб дізнатися про IP-підмережі, перейдіть за цими посиланнями

Служба хмарного обміну повідомленнями Google Firebase (FCM)

Служба push-сповіщень Apple (APNS)


 

Для APNS Apple вказує підмережі IP для цього сервісу.

Програма Webex

Підмережі IP для служб Webex Calling

Підмережі IP для служб Webex Calling

23.89.0.0/16

85.119.56.0/23

139.177.64.0/24

139.177.66.0/24

135.84.168.0/21

139.177.64.0/24

139.177.72.0/24

144.196.0.0/16

150.253.128.0/17

163.129.0.0/16

170.72.0.0/16

170.133.128.0/18

185.115.196.0/22

199.19.196.0/23

199.19.199.0/24

199.59.64.0/21

Мета підключення

Адреси джерелаПорти джерелаПротоколАдреси призначенняПорти призначенняПримітки
Передавання сигналів виклику до Webex Calling (TLS SIP)Зовнішній (NIC) локального шлюзу8000–65535TCPДив. розділ Підмережі IP для служб Webex Calling.5062, 8934

Ці IP-адреси або порти необхідні для передавання вихідних сигналів викликів SIP-TLS із локальних шлюзів, пристроїв і програм (джерело) до хмари Webex Calling (призначення).

Порт 5062 (необхідний для магістралі на основі сертифіката). І порт 8934 (необхідний для магістралі на основі реєстрації

Пристрої5060–50808934
Програма WebexТимчасовий (залежить від ОС)
Передавання сигналів виклику з Webex Calling (SIP TLS) на локальний шлюз

Діапазон адрес Webex Calling.

Див. розділ Підмережі IP для служб Webex Calling.

8934TCPIP або діапазон IP, вибраний клієнтом для свого локального шлюзуПорт або діапазон портів, вибраний клієнтом для свого місцевого шлюзу

Застосовується до локальних шлюзів на основі сертифікатів. Це потрібно для встановлення з'єднання з Webex Calling до локального шлюзу.

Локальний шлюз на основі реєстрації працює на повторному використанні з'єднання, створеного з локального шлюзу.

Порт призначення вибирається клієнтом Налаштування магістралей

Виклик медіафайлів у Webex Calling (STUN, SRTP/SRTCP, T38)Зовнішній NIC локального шлюзу8000–48198†UDPДив. розділ Підмережі IP для служб Webex Calling.

5004, 9000 (порти електрошокера)

Аудіо. 8500-8599

Відео. 8600-8699

19560-65535 (SRTP через UDP)

  • Ці IP-адреси або порти необхідні для передавання мультимедіа вихідних викликів SRTP з локальних шлюзів, пристроїв і програм (джерело) до хмари Webex Calling (призначення).

  • Для дзвінків усередині організації, де узгодження STUN, ICE пройшли успішно, медіареле в хмарі видаляється як канал зв'язку. У таких випадках медіапотік відбувається безпосередньо між додатками/пристроями користувача.

    Приклад: Якщо оптимізація медіа пройшла успішно, програма Webex надсилає медіафайли безпосередньо між собою в діапазонах портів 8500–8699, а пристрої надсилають медіафайли безпосередньо один одному в діапазонах портів 19560–19661.

  • Для певних топологій мережі, де брандмауери використовуються в приміщенні клієнта, надайте доступ до згаданих діапазонів джерел і портів призначення у вашій мережі для проходу медіа.

    Приклад: Для програми Webex дозвольте діапазон портів джерела та призначення

    Аудіо: 8500-8599 Відео: 8600-8699

Пристрої:19560–19660
Програми Webex

Аудіо. 8500-8599

Відео. 8600-8699

Медіафайли для викликів із Webex Calling (SRTP/SRTCP, T38)

Діапазон адрес Webex Calling.

Див. розділ Підмережі IP для служб Webex Calling.

19560-65535 (SRTP через UDP)UDPIP або діапазон IP, вибраний клієнтом для свого локального шлюзуДіапазон медіапортів, обраний клієнтом для свого локального шлюзу
Передавання сигналів виклику до шлюзу PSTN (TLS SIP)Внутрішній NIC локального шлюзу8000–65535TCPВаш шлюз PSTN ITSP або Unified CMЗалежить від параметра PSTN (наприклад, зазвичай для Unified CM використовується 5060 або 5061)
Передавання мультимедіа викликів до шлюзу PSTN (SRTP)Внутрішній NIC локального шлюзу8000–48198†UDPВаш шлюз PSTN ITSP або Unified CMЗалежить від параметра PSTN (наприклад, зазвичай для Unified CM використовується 5060 або 5061)
Конфігурація пристрою і керування мікропрограмним забезпеченням (пристрої Cisco)Пристрої Webex CallingКороткотерміновийTCP

3.20.185.219

3.130.87.169

3.134.166.179

52.26.82.54

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970, 80

Потрібно з наступних причин:

  1. Міграція з корпоративних телефонів (Cisco Unified CM) на Webex Calling. Додаткову інформацію див. на сторінці upgrade.cisco.com. У cloudupgrader.webex.com використовуються порти: 6970 443 за процес міграції мікропрограми.

  2. Оновлення прошивки та безпечне підключення пристроїв (MPP та телефони Room або Desk) за допомогою 16-значного коду активації (GDS)

  3. Для CDA / EDOS - підготовка на основі MAC-адреси. Використовується пристроями (MPP-телефони, ATA й SPA ATA) з новішим мікропрограмним забезпеченням.

  4. Для Cisco ATA переконайтеся, що пристрої мають мінімальну мікропрограму 11.1.0MSR3-9.

  5. Коли телефон підключається до мережі вперше або після відновлення заводських налаштувань, у разі відсутності налаштування параметрів DHCP він зв’язується із сервером активації пристрою для автоматичної підготовки. У нових телефонах для підготовки замість webapps.cisco.com використовується activate.cisco.com. У телефонах із випуском мікропрограмного забезпечення, що передує 11.2(1), продовжується використання webapps.cisco.com. Рекомендується дозволити всі ці підмережі IP.

  6. Надайте доступ багатоплатформним телефонам Cisco (MPP) старішим за версію 12.0.3 sudirenewal.cisco.com через порт 80 для поновлення встановленого виробником сертифіката (MIC) і наявності захищеного унікального ідентифікатора пристрою (SUDI). Для отримання детальної інформації дивіться Повідомлення про поле

Конфігурація програми WebexЗастосунки WebexКороткотерміновийTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Використовується для автентифікації брокера ідентифікаторів, служб конфігурації програми Webex для клієнтів, веб-доступу на основі браузера для самостійного обслуговування та доступу до адміністративного інтерфейсу.

 
Порт TCP 8443 використовується програмою Webex у налаштуваннях Cisco Unified CM для завантаження конфігурації. Лише клієнти, які використовують налаштування для підключення до Webex Calling, мають відкривати порт.
Синхронізація часу пристрою (NTP)Пристрої Webex Calling51494UDPДив. розділ Підмережі IP для служб Webex Calling.123Ці IP-адреси необхідні для синхронізації часу на пристроях (телефони MPP, ATA й SPA ATA)

Роздільна здатність системи доменних імен (DNS)

Пристрої Webex Calling, програма Webex і пристрої WebexКороткотерміновийUDP й TCPВизначив хост53Використовується для пошуку DNS із метою виявлення IP-адрес серверів Webex у хмарі. Незважаючи на те що звичайний пошук DNS виконується за протоколом UDP, інколи потрібно використовувати TCP, якщо відповіді на запити неможливо передати в пакетах UDP.
Протокол мережевого часу (NTP)Програма Webex і пристрої Webex123UDPВизначив хост123Продовжити синхронізацію
CScanВеб-готовність до мережі: інструмент попередньої кваліфікації для Webex CallingКороткотерміновийTCPДив. розділ Підмережі IP для служб Webex Calling.8934 та 443Веб-інструмент попередньої кваліфікації готовності мережі для Webex Calling. Додаткову інформацію див. на сторінці cscan.webex.com.
UDP19560–19660
Додаткові служби Webex Calling і Webex Aware (третя сторона)
Push-повідомлення, APNS та FCM сервісиЗастосунки Webex CallingКороткотерміновийTCP

Зверніться до підмереж IP, згаданих під посиланнями

Служба push-сповіщень Apple (APNS)

Хмарний обмін повідомленнями Google-Firebase (FCM)

443, 2197, 5228, 5229, 5230, 5223Сповіщення для програм Webex на мобільних пристроях (приклад: При отриманні нового повідомлення або при відповіді на дзвінок)

 
  • † Діапазон медіапортів CUBE налаштовується за допомогою діапазону портів RTP.

  • *Вирують медіапорти для пристроїв і додатків, які динамічно призначаються в порту SRTP. Порти SRTP є портами з парними номерами, і відповідний порт SRTCP виділяється з послідовним непарним портом.

  • Якщо адресу проксі-сервера налаштовано на пристрої Webex Room, трафік передачі сигналів TLS буде відправлено проксі. Медіафайли, що передаються SRTP через UDP, надходять безпосередньо до брандмауера, а не до проксі-сервера.

  • Якщо ви використовуєте служби NTP і DNS у своїй корпоративній мережі, відкрийте порти 53 і 123 через брандмауер.

Якість обслуговування (QoS)

Дає змогу ввімкнути тегування пакетів із локального пристрою або клієнта на хмарну платформу Webex Calling. QoS дає змогу надавати пріоритет трафіку в реальному часі над іншим трафіком даних. Увімкнення цього параметра змінює позначки QoS для програм і пристроїв, які використовують SIP-сигнали та медіафайли.

Адреси джерелаТип трафікуАдреси призначенняПорти джерелаПорти призначенняКлас і значення DSCP
Програма WebexАудіо

Посилання на IP-підмережі, домени та URL-адреси для служб Webex Calling

8500-85998500-8599, 19560-65535Прискорена пересилання (46)
Програма WebexВідео8600-86998600-8699, 19560-65535Гарантоване пересилання 41 (34)
Програма WebexПередавання сигналівТимчасовий (залежить від ОС)8934CS0 (0)
Пристрої Webex (MPP і кімната)Аудіо й відео19560–1966019560-65535

Прискорена пересилання (46) &

Гарантоване пересилання 41 (34)

Пристрої WebexПередавання сигналів5060–50808934Селектор занять 3 (24)

 
  • Створіть окремий профіль QoS для аудіо та відео/спільного доступу, оскільки вони мають різний діапазон портів джерела, щоб по-різному позначати трафік.

  • Для клієнтів Windows: Щоб увімкнути диференціацію портів джерела UDP для вашої організації, зверніться до локальної команди облікових записів. Без увімкнення ви не зможете відрізнити аудіо та відео/спільний доступ за допомогою політики QoS Windows (GPO), оскільки порти джерела однакові для аудіо/відео/спільного доступу. Докладнішу інформацію дивіться в статті Увімкнення діапазонів портів джерела медіа для програми Webex

  • Для пристроїв Webex налаштуйте зміни параметрів QoS у налаштуваннях пристрою Control Hub. Докладнішу інформацію дивіться в розділі Налаштування та змінення параметрів пристрою у Webex-Calling

Webex Meetings / обмін повідомленнями: вимоги до мережі

Для клієнтів, які використовують пакет хмарних служб співпраці Webex, зареєстровані в хмарі продукти Webex, підключіть пристрої MPP до хмари Webex для таких служб, як історія викликів, пошук у каталозі, наради та повідомлення. Переконайтеся, що домени/URL-адреси/IP-адреси/порти, згадані в цій статті, є відкритими Вимоги до мережі для службWebex.

Вимоги до мережі для Webex for Government

Інформацію про клієнтів, яким потрібен список доменів, URL-адрес, діапазонів IP-адрес і портів для служб Webex for Government Services (FedRAMP), можна знайти тут. Вимоги до мережі для Webex for Government

Вимоги до мережі для консолі Webex Attendant

Для клієнтів, які використовують функцію обслуговуючого персоналу - адміністраторів, обслуговуючого персоналу та операторів, переконайтеся, що домени/URL-адреси/IP-адреси/порти/протоколи відкриті Вимоги до мережі для консолі супроводжуючого персоналу

Початок роботи з локальним шлюзом Webex Calling

Для клієнтів, які використовують рішення локального шлюзу з Webex Calling для сумісності локальної ТМЗК і сторонніх контролерів сеансу, прочитайте статтю Початок роботи з локальним шлюзом

Посилання

Щоб дізнатися, що нового у Webex Calling, перегляньте статтю Що нового у Webex Calling

Вимоги до безпеки для Webex Calling наведено в статті

Оптимізація даних мультимедіа Webex Calling з установленням інтерактивного підключення (ICE)

Історія версій документа

Дата

До цієї статті внесено наведені нижче зміни

23 липня 2020 р.

Додано назад підмережу IP 52.26.82.54, оскільки вона потрібна для конфігурації пристрою Cisco ATA та керування прошивкою.

1 липня 2021 р.

Доповнено наступними деталями:

  • Значення QoS (TOS/DSCP) підтримуються для Webex Calling (програми, пристрої)

  • Оновлено схему мережі

  • Включно з посиланням для вимог до мережі, пов'язаних із консоллю Webex Attendant.

8 червня 2021 р.

Оновлено використання обох діапазонів портів SRTP/SRTCP для специфікації Webex Calling Media.

11 червня 2021 р.

Видалено домен "huton-dev.com", оскільки він не використовується.

4 травня 2020 р.

Оновлено використання обох діапазонів портів SRTP/SRTCP для специфікації Webex Calling Media.

23 квітня 2021 р.

Оновлено підмережі IP для служб Webex Calling з 163.129.0.0/17, щоб пристосуватися до розширення ринку Webex Calling для регіону Індії.

18 грудня 2020 р.

Включено вимогу до URL sudirenewal.cisco.com та порту 80 для конфігурації пристрою та керування прошивкою оновлення мікрофона телефону Cisco MPP.

11 грудня 2020 р.

Оновлено підмережі IP для служб Webex Calling, щоб вони включали більший набір IP-адрес.

150.253.209.128/25 – змінено на 150.253.128.0/17

29 листопада 2021 р.

Оновлено підмережі IP для служб Webex Calling, щоб вони включали більший набір IP-адрес для розширення регіону Webex Calling для майбутнього зростання.

144.196.33.0/25 – змінено на 144.196.0.0/16

Розділи «Підмережі IP для служб Webex Calling» у розділах Webex Calling (SIP TLS) і Виклик медіафайлів на Webex Calling (STUN, SRTP) оновлено для ясності транкінгу на основі сертифіката та вимог до брандмауера для локального шлюзу.

14 серпня 2023 р.

Ми додали такі IP-адреси 144.196.33.0/25 і 150.253.156.128/25, щоб підтримувати підвищені вимоги до ємності для служб Edge і Webex Calling.


 

Цей діапазон IP-адрес підтримується лише в регіоні США.

10 липня 2023 р.

Додано посилання https://binaries.webex.com для встановлення прошивки Cisco MPP.

7 березня 2023 р.

Ми переглянули всю статтю, включивши в неї:

  1. Включені опції для підтримки проксі-сервера.

  2. Модифікована діаграма потоку викликів

  3. Спрощені домени/URL-адреси/частини підмережі IP для служб Webex Calling і Webex Aware

  4. Додано діапазон підмережі IP 170.72.0.0/16 для служб Webex Calling і Webex Aware.

    Видалено такі діапазони: 170.72.231.0, 170.72.231.10, 170.72.231.161 та 170.72.242.0/24

7 березня 2023 р.

Доповнити статтю наступним:

  • Додано діапазон портів UDP-SRTP (8500-8700), який використовується програмами.

  • Додані порти для сервісів Push-повідомлень, APNS і FCM.

  • Розділіть діапазон портів CScan для UDP і TCP.

  • Додано розділ з посиланнями.

15 листопада 2022 р.

У розділ конфігурації пристрою і керування мікропрограмним забезпеченням (пристрої Cisco) додано наступні IP-адреси:

  • 170.72.231.0

  • 170.72.231.10

  • 170.72.231.161

З розділу конфігурації пристрою і керування мікропрограмним забезпеченням (пристрої Cisco) видалено наступні IP-адреси:

  • 3.20.118.133

  • 3.20.228.133

  • 3.23.144.213

  • 3.130.125.44

  • 3.132.162.62

  • 3.140.117.199

  • 18.232.241.58

  • 35.168.211.203

  • 50.16.236.139

  • 52.45.157.48

  • 54.145.130.71

  • 54.156.13.25

  • 52.26.82.54

  • 54.68.1.225

4 листопада 2022 р.

Додано підмережу IP 170.72.242.0/24 для служби Webex Calling.

5 вересня 2022 р.

Мікропрограма Cisco MPP використовується як https://binaries.webex.com URL-адреса хоста для оновлень мікропрограми MPP у всіх регіонах. Ця зміна покращує продуктивність оновлення мікропрограми.

30 серпня 2021 р.

Видалено посилання на порт 80 з рядків «Конфігурація пристрою та керування прошивкою» (пристрої Cisco), «Конфігурація програми» та «CScan» у таблиці «Порт», оскільки залежності немає.

18 серпня 2022 р.

Розчин не змінюється. Оновлено порти призначення 5062 (потрібно для магістралі на основі сертифіката), 8934 (потрібно для магістралі на основі реєстрації) для сигналізації викликів Webex Calling (SIP TLS).

6 липня 2022 р.

Додано IP-адресу 54.68.1.225, яка потрібна для оновлення прошивки пристроїв Cisco 840/860.

11 липня 2022 р.

Оновлено порти призначення 5062, 8934 для сигналізації викликів у Webex Calling (SIP TLS).

11 липня 2022 р.

Додано URL-адреси, які підтримують повну функцію служб Webex Aware.

Додано підмережу IP 23.89.154.0/25 для служби Webex Calling.

27 червня 2022 р.

Оновлено домен і URL-адреси для служб Webex Calling.

*.broadcloudpbx.com

*.broadcloud.com.au

*.broadcloud.eu

*.broadcloudpbx.net

15 червня 2020 р.

Додано такі порти та протоколи в розділі IP-адреси та порти для службWebex Calling:

  • Мета підключення Функції Webex

  • Адреси джерела Пристрої Webex Calling

  • Порти джерела Короткотерміновий

  • Протокол: TCP

  • Адреси призначення Зверніться до підмереж і доменів IP, визначених у Webex Meetings/Messaging - Вимоги до мережі.

  • Порти призначення 443

    Примітки. Пристрої Webex Calling використовують ці IP-адреси та домени для взаємодії з хмарними службами Webex, такими як Каталог, Історія викликів і Наради.

Оновлена інформація в розділі Webex Meetings/Messaging - Network Requirements (Вимоги до мережі)

4 травня 2022 р.

Додано підмережу IP 52.26.82.54/24 до 52.26.82.54/32 для служби Webex Calling.

4 травня 2022 р.

Додано підмережу IP 52.26.82.54/24 для служби Webex Calling.

7 квітня 2022 р.

Оновлено внутрішній і зовнішній діапазони портів UDP локального шлюзу до 8000–48198

5 квітня 2022 р.

Додано наступні підмережі IP для служби Webex Calling:

  • 23.89.40.0/25

  • 23.89.1.128/25

29 березня 2022 р.

Додано наступні підмережі IP для служби Webex Calling:

  • 23.89.33.0/24

  • 150.253.209.128/25

20 вересня 2021 р.

Додано 4 нові підмережі IP для служби Webex Calling:

  • 23.89.76.128/25

  • 170.72.29.0/24

  • 170.72.17.128/25

  • 170.72.0.128/25

2 квітня 2021 р.

У розділі Домени і URL для служб Webex Calling додано домен *.ciscospark.com для підтримки сценаріїв використання Webex Calling у програмі Webex.

25 березня 2021 р.

Додано 6 нових діапазонів IP для activate.cisco.com, які набувають чинності з 8 травня 2021 року.

  • 72.163.15.64/26

  • 72.163.15.128/26

  • 173.36.127.0/26

  • 173.36.127.128/26

  • 192.133.220.0/26

  • 192.133.220.64/26

4 березня 2021 р.

Замінено дискретні IP-адреси Webex Calling і менші діапазони IP зі спрощеними діапазонами в окремій таблиці для зручності розуміння конфігурації брандмауера.

26 лютого 2021 р.

Додано порт 5004 як порт призначення для передавання мультимедіа викликів до Webex Calling (STUN, SRTP) для підтримки встановлення інтерактивного підключення (ICE), яке буде доступно у Webex Calling у квітні 2021 року.

22 лютого 2021 р.

Домени і URL тепер перелічено в окремій таблиці.

Таблицю «IP-адреси й порти» налаштовано для групування IP-адрес одних і тих самих служб.

Додавання стовпця «Примітки» до таблиці «IP-адреси та порти», що допомагає зрозуміти вимоги.

Наступні IP-адреси було переміщено в спрощені діапазони для забезпечення конфігурації пристрою і керування мікропрограмним забезпеченням (пристрої Cisco):

activate.cisco.com

  • 72.163.10.125 -> 72.163.10.96/27

  • 173.37.149.125 -> 173.37.149.96/27

webapps.cisco.com

  • 173.37.146.134 -> 173.37.146.128/25

  • 72.163.10.134 -> 72.163.10.128/25

З березня 2021 року наведені нижче IP-адреси було додано для конфігурації програми, оскільки на клієнт Cisco Webex вказує новіший запис SRV DNS в Австралії.

  • 199.59.64.237

  • 199.59.67.237

21 січня 2021 р.

У розділ конфігурації пристрою і керування мікропрограмним забезпеченням (пристрої Cisco) додано наступні IP-адреси:

  • 3.134.166.179

  • 50.16.236.139

  • 54.145.130.71

  • 72.163.10.125

  • 72.163.24.0/23

  • 173.37.26.0/23

  • 173.37.146.134

З розділу конфігурації пристрою і керування мікропрограмним забезпеченням (пристрої Cisco) видалено наступні IP-адреси:

  • 35.172.26.181

  • 52.86.172.220

  • 52.203.31.41

До розділу конфігурації програми додано наступні IP-адреси:

  • 62.109.192.0/19

  • 64.68.96.0/19

  • 207.182.160.0/19

  • 150.253.128.0/17

З розділу конфігурації програми видалено наступні IP-адреси:

  • 64.68.99.6

  • 64.68.100.6

З розділу конфігурації програми видалено наступні номери портів:

  • 1081, 2208, 5222, 5280–5281, 52644–52645

До розділу конфігурації програми додано наступні домени:

  • idbroker-b-us.webex.com

  • idbroker-eu.webex.com

  • ty6-wxt-jp.bcld.webex.com

  • os1-wxt-jp.bcld.webex.com

23 грудня 2020 р.

До довідкових зображень портів додано нові IP-адреси конфігурації програм.

22 грудня 2020 р.

В рядок «Конфігурація програми» в таблицях додано наступні IP-адреси: 135.84.171.154 і 135.84.172.154.

Приховано мережеві діаграми, доки ці IP-адреси не будуть додані.

11 грудня 2020 р.

Оновлено конфігурацію пристрою і систему керування мікропрограмним забезпеченням (пристрої Cisco), а також рядки конфігурації програми для підтримуваних канадських доменів.

16 жовтня 2020 р.

Оновлено сигнальні й мультимедійні записи з використанням таких IP-адрес:

  • 139.177.64.0/24

  • 139.177.65.0/24

  • 139.177.66.0/24

  • 139.177.67.0/24

  • 139.177.68.0/24

  • 139.177.69.0/24

  • 139.177.70.0/24

  • 139.177.71.0/24

  • 139.177.72.0/24

  • 139.177.73.0/24

23 вересня 2020 р.

У CScan замінено 199.59.64.156 на 199.59.64.197.

14 серпня 2020 р.

Додано додаткові IP-адреси для підтримки впровадження центрів обробки даних у Канаді:

Передавання сигналів виклику до Webex Calling (TLS SIP): 135.84.173.0/25, 135.84.174.0/25, 199.19.19.197.0/24, 199.19.199.0/24

12 серпня 2020 р.

Додано додаткові IP-адреси для підтримки впровадження центрів обробки даних у Канаді:

  • Передавання мультимедіа викликів до Webex Calling (SRTP): 135.84.173.0/25, 135.84.174.0/25, 199.19.19.197.0/24, 199.19.199.0/24

  • Передавання сигналів виклику до загальнодоступних термінальних пристроїв (TLS SIP): 135.84.173.0/25, 135.84.174.0/25, 199.19.19.197.0/24, 199.19.199.0/24

  • Конфігурація пристрою і керування мікропрограмним забезпеченням (пристрої Cisco): 135.84.173.155, 135.84.174.155

  • Синхронізація часу пристрою: 135.84.173.152, 135.84.174.152

  • Конфігурація програми: 135.84.173.154, 135.84.174.154

22 липня 2020 р.

Додано наступну IP-адресу для підтримки впровадження центрів обробки даних у Канаді: 135.84.173.146

9 червня 2020 р.

До запису CScan внесено наведені нижче зміни.

  • Виправлено одну з IP-адрес: змінено 199.59.67.156 на 199.59.64.156

  • Для нових функцій потрібні нові порти, а також UDP: 19560–19760

11 березня 2020 р.

До розділу конфігурації програми додано наступний домен і IP-адреси:

  • jp.bcld.webex.com—135.84.169.150

  • client-jp.bcld.webex.com

  • idbroker.webex.com—64.68.99.6, 64.68.100.6

У розділі конфігурації пристрою і керування мікропрограмним забезпеченням оновлено наступні домени (додано додаткові IP-адреси):

  • cisco.webexcalling.eu: 85.119.56.198, 85.119.57.198

  • webapps.cisco.com—72.163.10.134

  • activation.webex.com—35.172.26.181, 52.86.172.220

  • cloudupgrader.webex.com—3.130.87.169, 3.20.185.219

27 лютого 2020 р.

У розділі конфігурації пристрою і керування мікропрограмним забезпеченням додано наступний домен і порти:

cloudupgrader.webex.com—443, 6970