Правильно налаштований брандмауер і проксі є важливими для успішного розгортання Calling. Webex Calling використовує SIP і HTTPS для сигналізації викликів, а пов’язані адреси та порти для медіа, підключення до мережі та шлюзу, оскільки Webex Calling є міжнародною службою.

Не всі конфігурації брандмауера вимагають, щоб порти були відкриті. Однак якщо ви використовуєте правила між собою, ви повинні відкрити порти для необхідних протоколів, щоб запустити служби.

Трансляція мережевих адрес (NAT)

Функції трансляції мережевих адрес (NAT) і перетворення адреси портів (PAT) застосовуються на кордоні між двома мережами для трансляції просторів адрес або запобігання зіткненням просторів IP-адрес.

Організації використовують технології шлюзу, як-от брандмауери та проксі-сервери, які надають послуги NAT або PAT, щоб надавати доступ до інтернету для програм Webex App або пристроїв Webex, які перебувають у просторі приватних IP-адрес. Завдяки цим шлюзам трафік від внутрішніх програм або пристроїв до інтернету здається, що надходить з однієї або кількох загальнодоступних IP-адрес, які можна маршрутизувати.

  • У разі розгортання NAT відкривати вхідний порт на брандмауері не обов’язково.

  • Перевірте розмір пулу NAT, необхідний для підключення до програми або пристроїв, коли кілька користувачів програми та пристроїв отримують доступ до служб Webex Calling і Webex за допомогою NAT або PAT. Переконайтеся, що пулам NAT призначено належні загальнодоступні IP-адреси, щоб запобігти вичерпанню портів. Вичерпання портів призводить до того, що внутрішні користувачі та пристрої не можуть підключитися до служб Webex Calling і Webex Aware.

  • Визначте розумні періоди прив’язки та уникайте маніпулювання SIP на пристрої NAT.

  • Налаштуйте мінімальний тайм-аут NAT, щоб забезпечити належну роботу пристроїв. Приклад: Телефони Cisco надсилають подальше повідомлення про оновлення РЕЄСТРАЦІЇ кожні 1–2 хвилини.

  • Якщо у вашій мережі використовується NAT або SPI, установіть більший тайм-аут (принаймні 30 хвилин) для підключень. Цей тайм-аут забезпечує надійне з’єднання, зменшуючи споживання акумулятора мобільних пристроїв користувачів.

Шлюз рівня програми SIP

Якщо маршрутизатор або брандмауер підтримує протокол SIP, тобто ввімкнено шлюз рівня програм SIP (ALG) або подібне, ми рекомендуємо вимкнути цю функцію, щоб підтримувати належну роботу служби.

Перевірте відповідну документацію виробника, щоб дізнатися, як вимкнути SIP ALG на певних пристроях.

Підтримка проксі для Webex Calling

Організації розгортають інтернет-брандмауер або інтернет-проксі й брандмауер, щоб перевірити, обмежити й контролювати HTTP-трафік, який залишає та входить до їхньої мережі. Тим самим захищаючи свою мережу від різних форм кібератак.

Проксі виконують кілька функцій безпеки, наприклад:

  • Дозволити або заблокувати доступ до певних URL-адрес.

  • Автентифікація користувача

  • Пошук репутації IP-адреси/домену/ім’я хоста/URI

  • Розшифровка та перевірка трафіку

Після налаштування функції проксі вона застосовується до всіх програм, які використовують протокол HTTP.

Програма Webex і програми для пристроїв Webex включають таке:

  • Служби Webex

  • Процедури активації пристроїв клієнта (CDA) за допомогою платформи підготовки Cisco Cloud, як-от GDS, активація пристрою EDOS, підготовка та приєднання до хмари Webex.

  • Автентифікація за сертифікатом

  • Оновлення мікропрограми

  • Звіти про стан

  • Передавання PRT

  • Служби XSI

Якщо налаштовано адресу проксі-сервера, тоді на проксі-сервер надсилається лише трафік сигналізації (HTTP/HTTPS). Клієнти, які використовують SIP для реєстрації в службі Webex Calling, і пов’язані медіафайли не надсилаються на проксі. Тому дозвольте цим клієнтам безпосередньо проходити через брандмауер.

Підтримувані параметри проксі, конфігурація та типи автентифікації

Підтримувані типи проксі:

  • Явний проксі-сервер (з перевіркою або без перевірки) — налаштуйте клієнтські програми або пристрої з явним проксі-сервером, щоб указати сервер для використання.

  • Прозорий проксі-сервер (не перевіряється) — клієнти не налаштовані на використання конкретної адреси проксі-сервера, і їм не потрібно будь-яких змін для роботи з проксі-сервером, що не перевіряється.

  • Прозорий проксі-сервер (перевірка) — клієнти не налаштовані на використання конкретної адреси проксі-сервера. Зміни конфігурації HTTP не потрібні; однак клієнтам програми або пристроїв потрібен кореневий сертифікат, щоб вони довіряли проксі. ІТ-команда використовує проксі-сервери, що перевіряють, для застосування політики щодо вебсайтів, які можна відвідувати, і типів контенту, які не дозволено.

Налаштуйте проксі-адреси вручну для пристроїв Cisco і програми Webex за допомогою:

Під час налаштування бажаних типів продуктів виберіть у таблиці наведені нижче конфігурації проксі й типи автентифікації:

Продукт

Конфігурація проксі

Тип автентифікації

Webex для Mac

Вручну, WPAD, PAC

Без автентифікації, базовий, NTLM,

Webex для Windows

Вручну, WPAD, PAC, GPO

Без автентифікації, базовий, NTLM, , провести переговори

Webex для iOS

Вручну, WPAD, PAC

Без автентифікації, базова, дайджест, NTLM

Webex для Android

Вручну, PAC

Без автентифікації, базова, дайджест, NTLM

Webex Web App

Підтримується через ОС

Без автентифікації, базовий, дайджест, NTLM, узгодження

Пристрої Webex

WPAD, PAC або вручну

Без автентифікації, базова, дайджест

IP-телефони Cisco

Вручну, WPAD, PAC

Без автентифікації, базова, дайджест

Video Mesh Node у Webex

Вручну

Без автентифікації, базова, дайджест, NTLM

Для легенд у таблиці:

  1. Автентифікація Mac NTLM – комп’ютер не обов’язково входить до домену, користувачу потрібно ввести пароль

  2. Автентифікація Windows NTLM — підтримується, лише якщо комп’ютер увійшов у домен

  3. Провести переговори - Kerberos із резервною автентифікацією NTLM.

  4. Щоб підключити пристрій серії Cisco Webex Board, Desk або Room до проксі-сервера, див Підключіть пристрій серії Board, Desk або Room до проксі-сервера .

  5. Інформацію про IP-телефони Cisco див Налаштуйте проксі-сервер як приклад для налаштування проксі-сервера та параметрів.

Для No Authentication, налаштуйте клієнта за допомогою проксі-адреси, яка не підтримує автентифікацію. Під час використання Proxy Authentication, налаштуйте за допомогою допустимих облікових даних. Проксі, які перевіряють вебтрафік, можуть перешкоджати підключенням вебсокета. Якщо ця проблема виникне, її може вирішити обхід неперевіреного трафіку до *.Webex.com. Якщо ви вже бачите інші записи, додайте крапку з комою після останнього запису, а потім введіть виняток Webex.

Налаштування проксі для ОС Windows

Microsoft Windows підтримує дві мережеві бібліотеки для HTTP-трафіку (WinINet і WinHTTP), які дозволяють конфігурувати проксі.WinINet є наднабором WinHTTP.

  1. WinInet розроблено для однокористувацького настільного клієнта

  2. WinHTTP розроблено в основному для багатокористувацьких серверних програм

Вибираючи між двома, виберіть WinINet для параметрів конфігурації проксі. Докладніше див wininet-vs-winhttp .

Див Налаштуйте список дозволених доменів для доступу до Webex у вашій корпоративній мережі для отримання додаткової інформації про таке:

  • Щоб користувачі входили в програми лише за допомогою облікових записів із попередньо визначеного списку доменів.

  • Використовуйте проксі-сервер для перехоплення запитів і обмеження дозволених доменів.

Перевірка проксі й закріплення сертифіката

Програма та пристрої Webex перевіряють сертифікати серверів, коли вони встановлюють сеанси TLS. Перевірки сертифіката, як-от емітент сертифіката та цифровий підпис, покладаються на перевірку ланцюжка сертифікатів аж до кореневого сертифіката. Для виконання перевірок програма та пристрої Webex використовують набір довірених кореневих сертифікатів CA, установлених у сховищі довіри операційної системи.

Якщо ви розгорнули проксі-сервер із перевіркою TLS для перехоплення, дешифрування та перевірки трафіку Webex Calling. Переконайтеся, що сертифікат, який надає проксі (замість сертифіката служби Webex), підписаний центром сертифікації, а кореневий сертифікат установлено в сховищі довіри програми Webex або пристрою Webex.

  • Для програми Webex: установіть сертифікат CA, який використовується для підпису сертифіката проксі-сервером в операційній системі пристрою.

  • Для пристроїв Webex Room і багатоплатформових IP-телефонів Cisco: відкрийте запит на обслуговування до команди TAC, щоб установити сертифікат CA.

У цій таблиці наведено програму Webex і пристрої Webex, які підтримують перевірку TLS проксі-серверами

Продукт

Підтримує перевірку TLS для користувацьких довірених ЦС

Програма Webex (для Windows, Mac, iOS, Android, інтернету)

Так

Пристрої Webex Room

Так

Багатоплатформові IP-телефони Cisco (MPP).

Так

Конфігурація брандмауера

Cisco підтримує служби Webex Calling і Webex Aware в захищених центрах обробки даних Cisco і Amazon Web Services (AWS). Компанія Amazon зарезервувала свої IP-підмережі для виключного використання Cisco і захистила служби, розташовані в цих підмережах у віртуальній приватній хмарі AWS.

Налаштуйте брандмауер, щоб дозволити зв’язок із ваших пристроїв, програм програми та інтернет-служб для належного виконання своїх функцій. Ця конфігурація надає доступ до всіх підтримуваних хмарних служб Webex Calling і Webex Aware, імен доменів, IP-адрес, портів і протоколів.

Додайте в білий список або відкрийте доступ до вказаного нижче, щоб служби Webex Calling і Webex Aware працювали належним чином.

  • URL-адреси/домени, згадані в розділі Домени та URL-адреси для служб Webex Calling

  • Підмережі, порти та протоколи IP, згадані в розділі Підмережі IP для служб Webex Calling

  • Якщо ви використовуєте пакет Webex із хмарних служб співпраці в межах організації, Webex Meetings, Messaging, консолі оператора Webex та інших служб, переконайтеся, що IP-підмережі, домени/URL-адреси, згадані в цих статтях, відкриті. Вимоги до мережі для служб Webex і Вимоги до мережі для консолі оператора

Якщо ви використовуєте лише брандмауер, фільтрація трафіку Webex Calling за допомогою лише IP-адрес не підтримується, оскільки деякі пули IP-адрес є динамічними й можуть змінитися в будь-який час. Регулярно оновлюйте правила. Якщо не оновити список правил брандмауера, це може вплинути на роботу ваших користувачів. Cisco не підтримує фільтрування підмножини IP-адрес на основі певного географічного регіону або постачальника хмарних послуг. Фільтрування за регіоном може значно погіршити якість викликів.

Примітка. Cisco не підтримує пули IP-адрес, що динамічно змінюються, тому їх немає в списку в цій статті.

Якщо ваш брандмауер не підтримує фільтрування доменів/URL, використовуйте параметр корпоративного проксі-сервера. Цей параметр фільтрує/дозволяє за URL-адресою/доменом трафік сигналів HTTPs до Webex Calling і служб Webex Aware на вашому проксі-сервері перед переадресацією на брандмауер.

Можна налаштувати трафік за допомогою фільтрації портів і IP-підмережі для медіафайлів викликів. Оскільки для медіатрафіку потрібен прямий доступ до інтернету, виберіть параметр фільтрації URL-адрес для сигналізації трафіку.

Для Webex Calling UDP є переважним транспортним протоколом Cisco для медіа, і він рекомендує використовувати лише SRTP через UDP. TCP і TLS як транспортні протоколи для медіа не підтримуються для Webex Calling у виробничих середовищах. Орієнтований на з’єднання характер цих протоколів впливає на якість медіафайлів у мережах із втратами. Якщо ви маєте запитання щодо транспортного протоколу, зверніться до служби підтримки.

Домени та URL-адреси для служб Webex Calling

Знак *, що відображається на початку URL-адреси (наприклад, *.webex.com), означає, що служби в домені верхнього рівня та всіх субдоменах доступні.

Домен / URL

Опис

Програми й пристрої Webex, які використовують ці домени або URL-адреси

Служби Cisco Webex

*.broadcloudpbx.com

Мікрослужби авторизації Webex для перехресного запуску з Control Hub на портал адміністрування викликів.

Control Hub

*.broadcloud.com.au

Служби Webex Calling в Австралії.

Усе

*.broadcloud.eu

Служби Webex Calling в Європі.

Усе

*.broadcloudpbx.net

Конфігурація клієнта Calling і керування послугами.

Програми Webex

*.webex.com

*.cisco.com

Основні служби Webex Calling і Webex Aware

  1. Підготовка посвідчень

  2. Сховище ідентифікаційних даних

  3. Автентифікація

  4. Служби OAuth

  5. Підключення пристрою

  6. Cloud Connected UC

Коли телефон підключається до мережі вперше або після скидання до заводських налаштувань без установлених параметрів DHCP, він звертається до сервера активації пристрою для підготовки без дотиків. Нові телефони використовують Activate.cisco.com, а телефони з мікропрограмою версії раніше 11.2(1), продовжуйте використовувати webapps.cisco.com для підготовки.

Завантажте мікропрограму пристрою та оновлення мовного стандарту з двійкові файли.webex.com .

Дозволити доступ багатоплатформовим телефонам Cisco (MPP) старше версії 12.0.3 sudirenewal.cisco.com через порт 80, щоб поновити сертифікат, установлений виробником (MIC) і мати безпечний унікальний ідентифікатор пристрою (SUDI). Докладніше див Поле повідомлення .

Усе

*.ucmgmt.cisco.com

Служби Webex Calling

Control Hub

*.wbx2.com і *.ciscospark.com

Використовується для хмарної поінформованості, щоб зв’язатися зі службами Webex Calling і Webex Aware під час і після реєстрації.

Ці служби необхідні для

  • Керування програмами та пристроями

  • Керування службою механізму сповіщення застосунків програм

Усе

*.webexapis.com

Мікрослужби Webex, які керують вашими програмами Webex і пристроями Webex.

  1. Служба зображень профілю

  2. Послуга дошки

  3. Служба Proximity

  4. Служба присутності

  5. Служба реєстрації

  6. Служба календаря

  7. Служба пошуку

Усе

*.webexcontent.com

Служби обміну повідомленнями Webex, пов’язані зі загальним сховищем файлів, зокрема:

  1. Файли користувача

  2. Перекодовані файли

  3. Зображення

  4. Знімки екрана

  5. Контент дошки

  6. Журнали клієнтів і пристроїв

  7. Зображення профілю

  8. Брендинг логотипів

  9. Файли журналу

  10. Масовий експорт та імпорт файлів CSV (Control Hub)

Служби обміну повідомленнями Webex Apps.

У жовтні 2019 року сховище файлів за допомогою webexcontent.com замінено на clouddrive.com

*.accompany.com

Інтеграція People Insights

Програми Webex

Додаткові служби, пов’язані з Webex (сторонні домени)

*.appdynamics.com

*.eum-appdynamics.com

Відстеження продуктивності, запис помилок і аварійних збоїв, показники сеансу.

Control Hub

*.sipflash.com

Служби керування пристроями. Оновлення мікропрограми та безпечне приєднання.

Програми Webex

*.walkme.com *.walkmeusercontent.com

Клієнт посібника користувача Webex. Надає інструкції з приєднання і використання для нових користувачів.

Щоб отримати додаткову інформацію про WalkMe, клацніть тут.

Програми Webex

*.google.com

*.googleapis.com

Сповіщення для програм Webex на мобільних пристроях (приклад: нове повідомлення, коли відповідь на виклик)

Інформацію про підмережі IP див. за цими посиланнями

Служба хмарних повідомлень Google Firebase (FCM).

Apple Push Notification Service (APNS)

Для APNS Apple перераховує підмережі IP для цієї служби.

Програма Webex

IP-підмережі для служб Webex Calling

Підмережі IP для служб Webex Calling *

23.89.0.0/16

85.119.56.0/23

128.177.14.0/24

128.177.36.0/24

135.84.168.0/21

139.177.64.0/21

139.177.72.0/23

144.196.0.0/16

150.253.128.0/17

163.129.0.0/17

170.72.0.0/16

170.133.128.0/18

185.115.196.0/22

199.19.196.0/23

199.19.199.0/24

199.59.64.0/21

Мета підключення

Адреси джерелаПорти джерелаПротоколАдреси призначенняПорти призначенняПримітки
Передавання сигналів виклику до Webex Calling (TLS SIP)Зовнішній (NIC) локального шлюзу8000–65535TCPДив. розділ Підмережі IP для служб Webex Calling.5062, 8934

Ці IP-адреси/порти потрібні для сигналізації вихідних викликів SIP-TLS від локальних шлюзів, пристроїв і програм програми Webex (джерело) до хмари Webex Calling (призначення).

Порт 5062 (вимагається для транка на основі сертифікатів). І порт 8934 (вимагається для транка на основі реєстрації

Пристрої5060–50808934
Програма WebexТимчасовий (залежить від ОС)
Сигналізація викликів із Webex Calling (SIP TLS) до локального шлюзу

Діапазон адрес Webex Calling.

Див Підмережі IP для служб Webex Calling

8934TCPIP-адреса або діапазон IP-адрес, вибраний клієнтом для свого локального шлюзуПорт або діапазон портів, вибраний клієнтом для свого локального шлюзу

Застосовується до локальних шлюзів на основі сертифікатів. Необхідно встановити підключення від Webex Calling до локального шлюзу.

Локальний шлюз на основі реєстрації працює з повторним використанням підключення, створеного з локального шлюзу.

Порт призначення вибирає клієнт Налаштуйте транки

Виклик медіафайлів на Webex Calling (STUN, SRTP/SRTCP, T38)Зовнішній NIC локального шлюзу8000-48199 *UDPДив. розділ Підмережі IP для служб Webex Calling.

5004, 9000 (порти STUN)

Аудіо. 8500-8599

Відео. 8600-8699

19560-65535 (SRTP через UDP)

  • Ці IP-адреси/порти використовуються для вихідних медіа викликів SRTP з локальних шлюзів, пристроїв і програм Webex (джерело) до хмари Webex Calling (призначення).

  • Для викликів в організації, де узгодження STUN, ICE пройшло успішно, медіаретранслятор у хмарі видаляється як шлях зв’язку. У таких випадках медіапотік здійснюється безпосередньо між програмами/пристроями користувача.

    Наприклад: Якщо оптимізація медіа пройшла успішно, програма Webex надсилатиме медіафайли безпосередньо між собою через діапазони портів 8500–8699, а пристрої надсилатимуть медіафайли один одному безпосередньо через діапазони портів 19560–19661.

  • Для певних мережевих топологій, де брандмауери використовуються на території клієнта, дозвольте доступ для згаданих діапазонів портів джерела та призначення всередині мережі для проходження медіа.

    Приклад: Для програми Webex дозвольте діапазон портів джерела й призначення

    Аудіо: 8500-8599 Відео: 8600-8699

Пристрої *19560-19661
Програма Webex *

Аудіо. 8500-8599

Відео. 8600-8699

Виклик медіафайлів із Webex Calling (SRTP/SRTCP, T38)

Діапазон адрес Webex Calling.

Див Підмережі IP для служб Webex Calling

19560-65535 (SRTP через UDP)UDPIP-адреса або діапазон IP-адрес, вибраний клієнтом для свого локального шлюзуДіапазон медіапортів, вибраний клієнтом для свого локального шлюзу
Передавання сигналів виклику до шлюзу PSTN (TLS SIP)Внутрішній NIC локального шлюзу8000–65535TCPВаш шлюз PSTN ITSP або Unified CMЗалежить від параметра PSTN (наприклад, зазвичай для Unified CM використовується 5060 або 5061)
Виклик медіафайлів на шлюз ТМЗК (SRTP/SRTCP)Внутрішній NIC локального шлюзу8000-48199 *UDPВаш шлюз PSTN ITSP або Unified CMЗалежить від параметра ТМЗК (наприклад, зазвичай 5060 або 5061 для Unified CM)
Конфігурація пристрою і керування мікропрограмним забезпеченням (пристрої Cisco)Пристрої Webex CallingКороткотерміновийTCP

3.20.185.219

3.130.87.169

3.134.166.179

52.26.82.54

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970, 80

Вимагається з таких причин:

  1. Виконання міграції з корпоративних телефонів (Cisco Unified CM) до Webex Calling. Див upgrade.cisco.com для отримання додаткової інформації. Cloudupgrader.webex.com використовує порти: 6970,443 для процесу міграції мікропрограми.

  2. Оновлення мікропрограми та безпечне підключення пристроїв (MPP і кімнатних або настільних телефонів) за допомогою 16-значного коду активації (GDS)

  3. Для CDA / EDOS — підготовка на основі MAC-адреси. Використовується пристроями (MPP-телефони, ATA й SPA ATA) з новішим мікропрограмним забезпеченням.

  4. Для Cisco ATA переконайтеся, що пристрої мають мінімальну версію мікропрограми 11.1.0MSR3-9.

  5. Коли телефон підключається до мережі вперше або після скидання до заводських налаштувань без установлених параметрів DHCP, він зв’язується із сервером активації пристрою для підготовки без дотиків. Використовуються нові телефони active.cisco.com замість webapps.cisco.com для підготовки. Телефони з мікропрограмою, випущеною раніше 11.2(1), продовжують використовувати webapps.cisco.com . Рекомендовано дозволити всі ці підмережі IP.

  6. Дозволити доступ багатоплатформовим телефонам Cisco (MPP) старше версії 12.0.3 sudirenewal.cisco.com через порт 80 для поновлення терміну дії сертифіката, установленого виробником (MIC) і отримання безпечного унікального ідентифікатора пристрою (SUDI). Докладніше див Поле повідомлення

Конфігурація програми WebexПрограми Webex AppКороткотерміновийTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Використовується для автентифікації посередника ідентифікатора, служб конфігурації програми Webex для клієнтів, вебдоступу на основі браузера для самообслуговування ТА доступу до адміністративного інтерфейсу.
Порт TCP 8443 використовується програмою Webex у налаштуваннях Cisco Unified CM для завантаження конфігурації. Лише клієнти, які використовують налаштування для підключення до Webex Calling, повинні відкривати порт.
Синхронізація часу пристрою (NTP)Пристрої Webex Calling51494UDPДив. розділ Підмережі IP для служб Webex Calling.123Ці IP-адреси необхідні для синхронізації часу на пристроях (телефони MPP, ATA й SPA ATA)

Роздільна здатність системи доменних імен (DNS).

пристрої Webex Calling, програма Webex і пристрої WebexКороткотерміновийUDP й TCPВизначив хост53Використовується для пошуку DNS для виявлення IP-адрес служб Webex Calling у хмарі. Незважаючи на те, що типові пошуки DNS виконуються через UDP, деякі можуть вимагати TCP, якщо відповіді на запити не можуть вмістити його в пакети UDP.
Протокол мережевого часу (NTP)Програма Webex і пристрої Webex123UDPВизначив хост123Синхронізація часу
CScanІнструмент попередньої кваліфікації щодо готовності до мережі на основі вебсайту для Webex CallingКороткотерміновийTCPДив. розділ Підмережі IP для служб Webex Calling.8934 і 443Інструмент попередньої кваліфікації вебінтерактивної мережі для Webex Calling. Додаткову інформацію див. на сторінці cscan.webex.com.
UDP19569-19760
Додаткові служби Webex Calling і Webex Aware (третя сторона)
Push-сповіщення служби APNS і FCMПрограми Webex CallingКороткотерміновийTCP

Див. IP-підмережі, згадані за посиланнями

Apple Push Notification Service (APNS)

Google-Firebase Cloud Messaging (FCM)

443, 2197, 5228, 5229, 5230, 5223Сповіщення для програм Webex на мобільних пристроях (приклад: Коли ви отримуєте нове повідомлення або коли відповідаєте на виклик)

  • * Діапазон медіапортів CUBE можна налаштувати за допомогою діапазон rtp-портів .

  • * Порти мультимедіа для пристроїв і програм, які динамічно призначаються в порту SRTP. Порти SRTP є парними портами, і відповідному порту SRTCP призначається послідовний непарний порт.

  • Якщо для ваших програм і пристроїв налаштовано адресу проксі-сервера, трафік сигналізації надсилається проксі. SRTP, що передається через UDP, надходить безпосередньо до брандмауера замість проксі-сервера.

  • Якщо ви використовуєте служби NTP і DNS у своїй корпоративній мережі, відкрийте порти 53 і 123 через брандмауер.

Якість обслуговування (QoS)

Дозволяє ввімкнути позначення пакетів із локального пристрою або клієнта до хмарної платформи Webex Calling. QoS дозволяє надавати пріоритет трафіку в реальному часі перед іншим трафіком даних. Увімкнення цього параметра змінює позначки QoS для програм і пристроїв, які використовують сигналізацію SIP та медіа.

Адреси джерелаТип трафікуАдреси призначенняПорти джерелаПорти призначенняКлас і значення DSCP
Програма WebexАудіо

Служби Webex Calling див. у розділі IP-підмережі, домени та URL-адреси

8500-85998500-8599, 19560-65535Прискорена переадресація (46)
Програма WebexВідео8600-86998600-8699, 19560-65535Гарантована переадресація 41 (34)
Програма WebexСигналізаціяТимчасовий (залежить від ОС)8934CS0 (0)
Пристрої Webex (MPP і кімната)Аудіо й відео19560-1966119560-65535

Прискорена переадресація (46) &

Гарантована переадресація 41 (34)

Пристрої WebexСигналізація5060–50808934Засіб вибору класу 3 (24)

  • Створіть окремий профіль QoS для аудіо й відео/спільного доступу, оскільки вони мають різний діапазон вихідних портів, щоб по-різному позначати трафік.

  • Для клієнтів Windows: Щоб увімкнути диференціацію портів джерела UDP для вашої організації, зверніться до локальної команди облікових записів. Без увімкнення неможливо розрізняти аудіо та відео/спільний доступ за допомогою політики QoS (GPO) Windows, оскільки порти джерела є однаковими для аудіо, відео та спільного доступу. Докладніше див Увімкнути діапазони портів джерела медіа для програми Webex

  • Для пристроїв Webex змініть налаштування QoS у параметрах пристрою Control Hub. Докладніше див Налаштуйте та змініть налаштування пристрою у Webex-Calling

Webex Meetings / обмін повідомленнями: вимоги до мережі

Для клієнтів, які використовують Webex Suite із хмарних служб співпраці, зареєстрованих у хмарі продуктів Webex, підключіть пристрої MPP у хмару Webex для таких служб, як історія викликів, пошук у каталозі, наради й обмін повідомленнями. Переконайтеся, що домени/URL-адреси/IP-адреси/порти, згадані в цій статті, відкриті Вимоги до мережі для служб Webex .

Вимоги до мережі для Webex for Government

Для клієнтів, яким потрібен список доменів, URL-адрес, діапазонів IP-адрес і портів для служб Webex для державних установ (FedRAMP), інформацію можна знайти тут: Вимоги до мережі для Webex for Government

Вимоги до мережі для консолі Webex Attendant

Для клієнтів, які використовують функцію консолі оператора (секретарі, оператори й оператори), переконайтеся, що домени/URL-адреси/IP-адреси/порти/протоколи відкриті. Вимоги до мережі для консолі оператора

Початок роботи з локальним шлюзом Webex Calling

Для клієнтів, які використовують рішення локального шлюзу з Webex Calling для локальної ТМЗК і взаємодії сторонніх SBC, прочитайте статтю Почніть роботу з локальним шлюзом

Посилання

Щоб дізнатися про нові можливості Webex Calling, див Нові можливості Webex Calling

Вимоги до безпеки для Webex Calling див Стаття

Оптимізація медіа Webex Calling із встановленням інтерактивного підключення (ICE) Стаття

Історія версій документа

Дата

До цієї статті внесено наведені нижче зміни

25 липня 2024 р

Додано знову IP-підмережу 52.26.82.54, оскільки вона потрібна для конфігурації пристрою Cisco ATA та керування мікропрограмою.

18 липня 2024 року

Оновлено з такими відомостями:

  • Значення QoS (TOS/DSCP), що підтримуються для Webex Calling (програми, пристрої)

  • Оновлено мережеву діаграму

  • Включно з посиланням на вимоги до мережі, пов’язані з консоллю Webex Attendant.

28 червня 2024 року

Оновлено використання обох діапазонів портів SRTP/ SRTCP для специфікації медіафайлів Webex Calling.

11 червня 2024 року

Домен huton-dev.com видалено, оскільки він не використовується.

6 травня 2024 р

Оновлено використання обох діапазонів портів SRTP/ SRTCP для специфікації медіафайлів Webex Calling.

3 квітня 2024 року

Оновлено IP-підмережі для служб Webex Calling на 163.129.0.0/17, щоб забезпечити розширення ринку Webex Calling в регіоні Індії.

18 грудня 2023 року

Включено sudirenewal.cisco.com Вимоги до URL-адреси та порту 80 для конфігурації пристрою та керування мікропрограмою для оновлення MIC телефону Cisco MPP.

11 грудня 2023 року

Оновлено IP-підмережі для служб Webex Calling, щоб включити більший набір IP-адрес.

150.253.209.128/25 – змінено на 150.253.128.0/17

29 листопада 2023 року

Оновлено IP-підмережі для служб Webex Calling, щоб включити більший набір IP-адрес для розширення регіону Webex Calling для майбутнього зростання.

144.196.33.0/25 – змінено на 144.196.0.0/16

Розділи IP-підмережі для служб Webex Calling у розділах Webex Calling (SIP TLS) і Виклик медіафайлів у Webex Calling (STUN, SRTP) оновлено, щоб пояснити транкінг на основі сертифікатів і вимоги брандмауера для локального шлюзу.

14 серпня 2023 р.

Ми додали такі IP-адреси 144.196.33.0/25 і 150.253.156.128/25 для підтримки підвищених вимог до місткості для служб Edge і Webex Calling.

Цей діапазон IP підтримується лише в регіоні США.

5 липня 2023 р

Посилання доданоhttps://binaries.webex.com щоб установити мікропрограму Cisco MPP.

7 березня 2023 р.

Ми переробили всю статтю, щоб включити:

  1. Включені параметри підтримки проксі.

  2. Змінена схема потоку викликів

  3. Спрощені домени/URL-адреси/IP-частини підмережі для служб Webex Calling і Webex Aware

  4. Додано діапазон IP-підмережі 170.72.0.0/16 для служб Webex Calling і Webex Aware.

    Видалено такі діапазони: 170.72.231.0, 170.72.231.10, 170.72.231.161 і 170.72.242.0/24

5 березня 2023 року

Оновлення статті таким чином:

  • Додано діапазон портів UDP-SRTP (8500-8700), що використовуються програмами.

  • Додано порти для служб Push-сповіщень APNS і FCM.

  • Розділити діапазон портів CScan для UDP і TCP.

  • Додано розділ посилань.

15 листопада 2022 р.

Ми додали такі IP-адреси для конфігурації пристрою та керування мікропрограмою (пристрої Cisco):

  • 170.72.231.0

  • 170.72.231.10

  • 170.72.231.161

Ми видалили такі IP-адреси з конфігурації пристрою та керування мікропрограмою (пристрої Cisco):

  • 3.20.118.133

  • 3.20.228.133

  • 3.23.144.213

  • 3.130.125.44

  • 3.132.162.62

  • 3.140.117.199

  • 18.232.241.58

  • 35.168.211.203

  • 50.16.236.139

  • 52.45.157.48

  • 54.145.130.71

  • 54.156.13.25

  • 52.26.82.54

  • 54.68.1.225

14 листопада 2022 року

Додано IP-підмережу 170.72.242.0/24 для служби Webex Calling.

8 вересня 2022 р

Мікропрограму Cisco MPP переходить до використанняhttps://binaries.webex.com як URL хоста для оновлень мікропрограми MPP у всіх регіонах. Ця зміна покращує продуктивність оновлення мікропрограми.

30 серпня 2022 р

Вилучено посилання на порт 80 з рядків конфігурації пристрою та керування мікропрограмою (пристрої Cisco), конфігурації програми та CScan в таблиці портів, оскільки немає залежності.

18 серпня 2022 р.

Розв’язок не змінюється. Оновлено порти призначення 5062 (вимагається для транка на основі сертифікатів), 8934 (вимагається для транка на основі реєстрації) для сигналізації викликів на Webex Calling (SIP TLS).

26 липня 2022 р

Додано IP-адресу 54.68.1.225, яка потрібна для оновлення мікропрограми пристроїв Cisco 840/860.

21 липня 2022 р

Оновлено порти призначення 5062, 8934 для сигналізації викликів на Webex Calling (SIP TLS).

14 липня 2022 р

Додано URL-адреси, які підтримують повну функцію служб Webex Aware.

Додано IP-підмережу 23.89.154.0/25 для служби Webex Calling.

27 червня 2022 р.

Оновлено домен і URL-адреси для служб Webex Calling:

*.broadcloudpbx.com

*.broadcloud.com.au

*.broadcloud.eu

*.broadcloudpbx.net

15 червня 2022 року

У розділі додано такі порти та протоколи IP-адреси та порти для служб Webex Calling :

  • Мета підключення: Функції Webex

  • Адреси джерела: Пристрої Webex Calling

  • Порти джерела: Короткотерміновий

  • Протокол: TCP

  • Адреси призначення: Див. розділ IP-підмережі та домени, визначені в Webex Meetings/Messaging – вимоги до мережі.

  • Порти призначення: 443

    Примітки. Пристрої Webex Calling використовують ці IP-адреси та домени для взаємодії з хмарними службами Webex, як-от каталог, історія викликів і наради.

Оновлена інформація в Webex Meetings/Messaging – вимоги до мережі розділ

24 травня 2022 р

Додано IP-підмережу 52.26.82.54/24 до 52.26.82.54/32 для служби Webex Calling

6 травня 2022 р

Додано IP-підмережу 52.26.82.54/24 для служби Webex Calling

7 квітня 2022 р.

Оновлено внутрішній і зовнішній діапазони портів UDP локального шлюзу до 8000–48198

5 квітня 2022 р.

Додано наступні підмережі IP для служби Webex Calling:

  • 23.89.40.0/25

  • 23.89.1.128/25

29 березня 2022 р.

Додано наступні підмережі IP для служби Webex Calling:

  • 23.89.33.0/24

  • 150.253.209.128/25

20 вересня 2021 р.

Додано 4 нові підмережі IP для служби Webex Calling:

  • 23.89.76.128/25

  • 170.72.29.0/24

  • 170.72.17.128/25

  • 170.72.0.128/25

2 квітня 2021 р.

Додано *.ciscospark.com під Домени та URL-адреси для служб Webex Calling для підтримки випадків використання Webex Calling у програмі Webex.

25 березня 2021 р.

Додано 6 нових діапазонів IP для activate.cisco.com, які набувають чинності з 8 травня 2021 року.

  • 72.163.15.64/26

  • 72.163.15.128/26

  • 173.36.127.0/26

  • 173.36.127.128/26

  • 192.133.220.0/26

  • 192.133.220.64/26

4 березня 2021 р.

Замінено дискретні IP-адреси Webex Calling і менші діапазони IP зі спрощеними діапазонами в окремій таблиці для зручності розуміння конфігурації брандмауера.

26 лютого 2021 р.

Додано 5004 як порт призначення для медіафайлів викликів у Webex Calling (STUN, SRTP) для підтримки інтерактивного встановлення підключення (ICE), який буде доступний у Webex Calling у квітні 2021 року.

22 лютого 2021 р.

Домени і URL тепер перелічено в окремій таблиці.

Таблицю IP-адрес і портів налаштовують для групових IP-адрес для тих самих служб.

Додавання стовпця "Примітки" до таблиці "IP-адреси та порти", що допомагає зрозуміти вимоги.

Переміщення таких IP-адрес до спрощених діапазонів для конфігурації пристрою та керування мікропрограмою (пристрої Cisco):

active.cisco.com

  • 72.163.10.125 -> 72.163.10.96/27

  • 173.37.149.125 -> 173.37.149.96/27

webapps.cisco.com

  • 173.37.146.134 -> 173.37.146.128/25

  • 72.163.10.134 -> 72.163.10.128/25

Додавання таких IP-адрес для конфігурації програми, оскільки клієнт Cisco Webex вказує на новішу DNS SRV в Австралії в березні 2021 р.

  • 199.59.64.237

  • 199.59.67.237

21 січня 2021 р.

Ми додали такі IP-адреси до конфігурації пристрою та керування мікропрограмою (пристрої Cisco):

  • 3.134.166.179

  • 50.16.236.139

  • 54.145.130.71

  • 72.163.10.125

  • 72.163.24.0/23

  • 173.37.26.0/23

  • 173.37.146.134

Ми видалили такі IP-адреси з конфігурації пристрою та керування мікропрограмою (пристрої Cisco):

  • 35.172.26.181

  • 52.86.172.220

  • 52.203.31.41

Ми додали такі IP-адреси до конфігурації програми:

  • 62.109.192.0/19

  • 64.68.96.0/19

  • 207.182.160.0/19

  • 150.253.128.0/17

Ми видалили такі IP-адреси з конфігурації програми:

  • 64.68.99.6

  • 64.68.100.6

Ми видалили такі номери портів із конфігурації програми:

  • 1081, 2208, 5222, 5280–5281, 52644–52645

Ми додали такі домени до конфігурації програми:

  • idbroker-b-us.webex.com

  • idbroker-eu.webex.com

  • ty6-wxt-jp.bcld.webex.com

  • os1-wxt-jp.bcld.webex.com

23 грудня 2020 р.

До довідкових зображень портів додано нові IP-адреси конфігурації програм.

22 грудня 2020 р.

В рядок «Конфігурація програми» в таблицях додано наступні IP-адреси: 135.84.171.154 і 135.84.172.154.

Приховано мережеві діаграми, доки ці IP-адреси не буде додано.

11 грудня 2020 р.

Оновлено конфігурацію пристрою і систему керування мікропрограмним забезпеченням (пристрої Cisco), а також рядки конфігурації програми для підтримуваних канадських доменів.

16 жовтня 2020 р.

Оновлено сигнальні й мультимедійні записи з використанням таких IP-адрес:

  • 139.177.64.0/24

  • 139.177.65.0/24

  • 139.177.66.0/24

  • 139.177.67.0/24

  • 139.177.68.0/24

  • 139.177.69.0/24

  • 139.177.70.0/24

  • 139.177.71.0/24

  • 139.177.72.0/24

  • 139.177.73.0/24

23 вересня 2020 р.

У CScan замінено 199.59.64.156 на 199.59.64.197.

14 серпня 2020 р.

Додано додаткові IP-адреси для підтримки впровадження центрів обробки даних у Канаді:

Передавання сигналів виклику до Webex Calling (TLS SIP): 135.84.173.0/25, 135.84.174.0/25, 199.19.19.197.0/24, 199.19.199.0/24

12 серпня 2020 р.

Додано додаткові IP-адреси для підтримки впровадження центрів обробки даних у Канаді:

  • Передавання мультимедіа викликів до Webex Calling (SRTP): 135.84.173.0/25, 135.84.174.0/25, 199.19.19.197.0/24, 199.19.199.0/24

  • Сигнал виклику на загальнодоступні кінцеві пристрої (SIP TLS) — 135.84.173.0/25, 135.84.174.0/25, 199.19.197.0/24, 199.19.199.0/24.

  • Конфігурація пристрою і керування мікропрограмним забезпеченням (пристрої Cisco): 135.84.173.155, 135.84.174.155

  • Синхронізація часу пристрою: 135.84.173.152, 135.84.174.152

  • Конфігурація програми: 135.84.173.154, 135.84.174.154

22 липня 2020 р.

Додано наступну IP-адресу для підтримки впровадження центрів обробки даних у Канаді: 135.84.173.146

9 червня 2020 р.

До запису CScan внесено наведені нижче зміни.

  • Одну з IP-адрес виправлено — 199.59.67.156 змінено на 199.59.64.156.

  • Для нових функцій потрібні нові порти та UDP — 19560-19760.

11 березня 2020 р.

Ми додали такі домен і IP-адреси до конфігурації програми:

  • jp.bcld.webex.com — 135.84.169.150

  • client-jp.bcld.webex.com

  • idbroker.webex.com — 64.68.99.6, 64.68.100.6

У розділі конфігурації пристрою і керування мікропрограмним забезпеченням оновлено наступні домени (додано додаткові IP-адреси):

  • cisco.webexcalling.eu: 85.119.56.198, 85.119.57.198

  • webapps.cisco.com — 72.163.10.134

  • aktivation.webex.com—35.172.26.181, 52.86.172.220

  • cloudupgrader.webex.com—3.130.87.169, 3.20.185.219

27 лютого 2020 р.

У розділі конфігурації пристрою і керування мікропрограмним забезпеченням додано наступний домен і порти:

cloudupgrader.webex.com—443, 6970