Netværkskrav til Webex for Government (FedRAMP)

Webex Meetings
Webex Calling

Hurtig reference til mødeporte og IP-intervaller

Følgende IP-intervaller bruges af websteder, der er installeret på Fed RAMP-mødeklyngen. For dette dokument benævnes disse intervaller som "Webex IP-intervaller":

150.253.150.0/23 (150.253.150.0 til 150.253.151.255)
144.196.224.0/21 (144.196.224.0 til 144.196.231.255)
23.89.18.0/23 (23.89.18.0 til 23.89.19.255)
163.129.16.0/21 (163.129.16.0 til 163.129.23.255)
170.72.254.0/24 (170.72.254.0 til 170.72.254.255)
170.133.156.0/22 (170.133.156.0 til 170.133.159.255)
207.182.160.0/21 (207.182.160.0 til 207.182.167.255)
207.182.168.0/23 (207.182.168.0 til 207.182.169.255)
207.182.176.0/22 (207.182.176.0 til 207.182.179.255)
207.182.190.0/23 (207.182.190.0 til 207.182.191.255)
216.151.130.0/24 (216.151.130.0 til 216.151.130.255)
216.151.134.0/24 (216.151.134.0 til 216.151.134.255)
216.151.135.0/25 (216.151.135.0 til 216.151.135.127)
216.151.135.240/28 (216.151.135.240 til 216.151.135.255)
216.151.138.0/24 (216.151.138.0 til 216.151.138.255)
216.151.139.0/25 (216.151.139.0 til 216.151.139.127)
216.151.139.240/28 (216.151.139.241 til 216.151.139.254)

Installerede tjenester

Tjenester, der installeres på dette IP-område, omfatter, men er ikke begrænset til, følgende:

Mødewebstedet (f.eks. customersite.webex.com)
Mødedataservere
Multimedieservere til computerlyd (VoIP) og webcam-video
XML/API-tjenester, herunder planlægning af produktivitetsværktøjer
Netværksbaserede optagelsesservere (NBR)
Sekundære tjenester, når primære tjenester vedligeholdes eller oplever tekniske vanskeligheder

Følgende URI'er bruges til at kontrollere "Certifikattilbagekaldelseslisten" for vores sikkerhedscertifikater. Certifikattilbagekaldelseslisterne for at sikre, at ingen kompromitterede certifikater kan bruges til at opfange sikker Webex-trafik. Denne trafik finder sted på TCP-port 80:

*.quovadisglobal.com
*.digicert.com
*.identrust.com (IdTrust-certifikater)

Følgende brugeragenterpasseres af Webex via utiltp-processen i Webex og bør tillades via en agenturs firewall:

UserAgent=WebexInMeetingWin
UserAgent=WebexInMeetingMac
UserAgent=prefetchDocShow
UserAgent=standby

https://activation.webex.com/api/v1/ping som en del af de tilladte URL-adresser. Den bruges som en del af enhedsaktiveringsprocessen, og "enheden bruger den, før den ved, at det er en FedRAMP-enhed. Enheden sender den en aktiveringskode uden Fed RAMP-oplysninger, tjenesten ser, at det er en Fed RAMP-aktiveringskode, og derefter omdirigerer den dem."

Al Fed RAMP-trafik kræver TLS 1.2-kryptering og mTLS 1.2-kryptering for lokale SIP-registrerede enheder.

Porte, der bruges af Webex Meetings-klienter (herunder cloud-registrerede enheder)

Protokol

Portnumre

Retning

Trafiktype

IP-område

Kommentarer

TCP

80/443

Udgående til Webex

HTTP, HTTPS

Webex og AWS (anbefales ikke at filtrere efter IP)

*.webex.com
*.gov.ciscospark.com
*.s3.us-gov-west-1.amazonaws.com (Dette bruges til at betjene statisk indhold og filer)
*.wbx2.com

Webex anbefaler filtrering efter URL-adresse. Hvis filtrering efter IP-adresse, skal du tillade AWS GovCloud-, Cloudfront- og Webex IP-intervaller.

TCP/UDP

Udgående til lokal DNS

Domænenavnstjenester (DNS)

Kun DNS-server

Bruges i forbindelse med DNS-opslag til at finde IP-adresserne på Webex-servere i skyen. Selv om typiske DNS-opslag udføres via UDP, kræver nogle af dem muligvis TCP, hvis svaret på forespørgslen ikke kan passe ind i UDP-pakker.

UCP

9000, 5004

Udgående til Webex

Primært Webex-klientmedie (VoIP og Video-RTP)

Webex

Webex-klientens medieport bruges til at udveksle streaminger af computerlyd, webcam-video og indhold. Åbning af denne port er nødvendig for at sikre den bedst mulige medieoplevelse.

TCP

5004, 443, 80

Udgående til Webex

Alternativt Webex-klientmedie (VoIP og Video-RTP)

Webex

Fallback-porte til medietilslutning, når UDP-port 9000 ikke er åben i firewallen

UDP/TCP

Lyd: 52000 til 52049

Video: 52100 til 52199

Indgående til dit netværk

Webex-klientmedie (Voip og video)

Vend tilbage fra AWS og Webex

Webex kommunikerer straks til den modtagne destinationsport, når klienten opretter forbindelse. En firewall skal konfigureres til at tillade disse returneringsforbindelser.

Dette er aktiveret som standard.

TCP/UDP

OS-specifikke ephemerale porte

Indgående til dit netværk

Returtrafik fra Webex

Vend tilbage fra AWS og Webex

Webex kommunikerer straks til den modtagne destinationsport, når klienten opretter forbindelse. En firewall skal konfigureres til at tillade disse returneringsforbindelser.

Dette åbnes normalt automatisk i en statisk firewall, men det er angivet her for fuldstændighed.

For kunder, der aktiverer Webex for Government, der ikke kan tillade URL-baseret filtrering for HTTPS, skal du tillade forbindelse med AWS Gov Cloud West (region: us-gov-west-1) og Cloud Front (tjeneste: SKYDÆKKE). Gennemse AWS-dokumentationen for at identificere IP-intervallerne for AWS Gov Cloud West-regionen og AWS Cloud Front. AWS-dokumentation er tilgængelig på https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex anbefaler på det kraftigste filtrering via URL-adresse, når det er muligt.

Cloudfront bruges til statisk indhold, der leveres via Content Delivery Network, for at give kunderne den bedste ydeevne i hele landet.

Porte, der bruges af lokalt registrerede Cisco-videosamarbejdsenheder

Se også virksomhedsinstallationsvejledningen til Cisco Webex Meetings til møder med aktiveret videoenhed

Protokol	Portnumre	Retning	Adgangstype	IP-område	Kommentarer
TCP	5061 – 5070	Udgående til Webex	SIP-signalering	Webex	Webex-mediekanten lytter på disse porte
TCP	5061, 5065	Indgående til dit netværk	SIP-signalering	Webex	Indgående SIP-signaltrafik fra Webex Cloud
TCP	5061	Udgående til Webex	SIP-signaler fra cloud-registrerede enheder	AWS	Indgående opkald fra Webex-appen 1:1-opkald og cloud-registrerede enheder til din lokalt registrerede SIP URI. *5061 er standardporten. Webex understøtter 5061-5070-porte, der skal bruges af kunder som defineret i deres SIP SRV-post
TCP/UDP	1719, 1720, 15000—19999	Udgående til Webex	H.323 LS	Webex	Hvis dit slutpunkt kræver gatekeeper-kommunikation, skal du også åbne port 1719, som inkluderer Lifesize
TCP/UDP	Ephemerale Porte, 36000—59999	Indgående	Medieporte	Webex	Hvis du bruger en Cisco Expressway, skal medieområderne være indstillet til 36000-59999. Hvis du bruger et tredjepartsslutpunkt eller opkaldskontrol, skal disse konfigureres til at bruge dette område.
TCP	443	Indgående	Nærhed til enheden på stedet	Lokalt netværk	Webex-appen eller Webex-desktop-appen skal have en IP v4-rutebar sti mellem sig selv og videoenheden ved hjælp af HTTPS

For kunder, der aktiverer Webex for regeringen, der modtager indgående opkald fra Webex-app 1:1-opkald og cloud-registrerede enheder til din lokalt registrerede SIP URI. Du skal også tillade forbindelse med AWS Gov Cloud West (region: us-gov-west-1). Gennemse AWS-dokumentationen for at identificere IP-intervallerne for AWS Gov Cloud West-regionen. AWS-dokumentationen er tilgængelig på https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Porte, der bruges af Edge-lyd

Dette er kun påkrævet, hvis du udnytter Edge-lyd.

Protokol	Portnumre	Retning	Adgangstype	IP-område	Kommentarer
TCP	5061 – 5062	Indgående til dit netværk	SIP-signalering	Webex	Indgående SIP-signaler til Edge-lyd
TCP	5061 – 5065	Udgående til Webex	SIP-signalering	Webex	Udgående SIP-signal til Edge-lyd
TCP/UDP	Ephemerale Porte, 8000—59999	Indgående til dit netværk	Medieporte	Webex	På en virksomhedsfirewall skal porte åbnes for indgående trafik til Expressway med et portinterval fra 8000 – 59999

Konfigurer mTLS ved hjælp af følgende indstillinger:

Konfigurer Expressway |Gensidig TLS-godkendelse.
Understøttede rodcertifikatmyndigheder |Cisco Webex-lyd- og videoplatforme.
Konfigurationsvejledning til |Edge-lyd.

Domæner og URL-adresser for Webex Calling-tjenester

Et * vist i begyndelsen af en URL -adresse (f.eks. *.webex.com) angiver, at tjenester på topdomænet og alle underdomæner er tilgængelige.

Tabel 3. Webex-tjenesteydelser

Domæne/URL-adresse

Beskrivelse

Webex-apps og -enheder, der bruger disse domæner/URL-adresser

*.webex.com

*.cisco.com

*.webexgov.us

Webex Calling og Webex Aware-tjenester

Identitetsklargøring

Identitetslagring

Bekræftelse

OAuth-tjenester

Onboarding af enhed

Når en telefon opretter forbindelse til et netværk for første gang, eller efter en fabriksnulstilling uden indstillet DHCP -indstillinger, kontakter den en enhedsaktiveringsserver med henblik på nulpunktsklargøring. Nye telefoner bruger active.cisco.com, og telefoner med firmwareversion tidligere end 11.2(1), fortsætter med at bruge webapps.cisco.com til klargøring.

Download enhedens firmware og opdateringer af landestandarder fra binære filer.webex.com .

Alle

*.wbx2.com og *.ciscospark.com

Bruges til cloud-bevidsthed, CSDM, WDM, kviksølv og så videre. Disse tjenester er nødvendige for, at apps og enhederne kan nå ud til Webex Calling og Webex Aware-tjenester under og efter onboarding.

Alle

*.webexapis.com

Webex-mikrotjenester, der administrerer dine applikationer og enheder.

Service med profilbilleder

Whiteboarding-tjeneste

Nærhedstjeneste

Tilstedeværelsestjeneste

Tilmeldingstjeneste

Kalendertjeneste

Søgetjeneste

Alle

*.webexcontent.com

Webex Meddelelser -tjeneste relateret til generel fillagring, herunder:

Brugerfiler

Omkodede filer

Billeder

Skærmbilleder

Whiteboardindhold

Klient- og enhedslogfiler

Profilbilleder

Branding-logoer

Logfiler

Masse CSV eksportfiler og -importfiler (Control Hub)

Webex-appens meddelelsestjenester.

Fillager ved hjælp af webexcontent.com erstattet af clouddrive.com i oktober 2019

Tabel 4. Yderligere Webex-relaterede tjenester (tredjepartsdomæner)
Domæne/URL-adresse	Beskrivelse	Webex-apps og -enheder, der bruger disse domæner/URL-adresser
.appdynamics.com .eum-appdynamics.com	Sporing af præstation, registrering af fejl og nedbrud, sessionsmålinger.	Control Hub
*.Huron-dev.com	Webex Calling-mikrotjenester, såsom slå tjenester til/fra, bestilling af telefonnummer og tildelingstjenester.	Control Hub
*.sipflash.com	Tjenester til enhedsadministration. Firmwareopgraderinger og sikker onboarding.	Webex-apps
.google.com .googleapis.com	Underretninger til Webex -apps på mobilenheder (eksempel: ny besked, når opkaldet besvares) For IP undernet henvises der til disse links Tjenesten Google Firebase Cloud Meddelelser (FCM). Apple Push Notification Service (APNS)	Webex-app

IP-undernet til Webex Calling-tjenester

23.89.18.0/23
163.129.16.0/21
150.253.150.0/23
144.196.224.0/21
144.196.16.0/24

Porte, der bruges af Webex Calling

Tabel 5. Webex Calling- og Webex Aware-tjenester
Tilslutningsformål	Kildeadresser	Kildeporte	Protokol	Destinationsadresser	Destinationsporte	Bemærkninger
Opkaldssignal til Webex Calling (SIP TLS)	Ekstern lokal gateway (NIC)	8000 – 65535	TCP	Se IP-undernet for Webex Calling-tjenester.	5062, 8934	Disse IP-adresser/porte er nødvendige til udgående SIP-TLS-opkaldssignalering fra lokale gateways, enheder og applikationer (kilde) til Webex-opkald Cloud (destination). Port 5062 (påkrævet for certifikatbaseret trunk). Og port 8934 (påkrævet for registreringsbaseret trunk
	Enheder	5060 – 5080			8934
	Applikationer	Kortvarig (OS-afhængig)			8934
Opkaldsmedier til Webex Calling (STUN, SRTP	Ekstern lokal gateway (NIC)	8000–48198^†^*	UDP	Se IP-undernet for Webex Calling-tjenester.	5004, 9000 (STUN-porte) 8500—8700,19560—65535 (SRTP over UDP)	Disse IP'er/porte bruges til udgående SRTP -opkaldsmedier fra lokale gateways, enheder og applikationer (kilde) til Webex Calling Cloud (destination). For opkald i den organisation, hvor STUN, ICE-forhandling lykkes, fjernes medierelæet i skyen som kommunikationsstien. I sådanne tilfælde er mediestrømmen direkte mellem brugerens apps/enheder. For eksempel: Hvis medieoptimering lykkes, sender applikationer medier direkte mellem hinanden på portintervaller mellem 8500-9700, og enheder sender medier direkte til hinanden på portintervaller mellem 19560-19660. For visse netværkstopologier, hvor firewalls bruges inden for et kundepræmis, skal du give adgang til de nævnte kilde- og destinationsportområder i dit netværk, så medierne kan strømme igennem. Eksempel: Tillad kilde- og destinationsporten 8500-8700 for applikationer.
	Enheder	19560 – 19660
	Applikationer	8500—8700
Opkaldssignal til PSTN-gateway (SIP TLS)	Intern lokal gateway (NIC)	8000 – 65535	TCP	Din ITSP PSTN GW eller Unified CM	Afhænger af PSTN-muligheden (f.eks. typisk 5060 eller 5061 for Unified CM)
Opkaldsmedier til PSTN-gateway (SRTP)	Intern lokal gateway (NIC)	8000–48198^†^*	UDP	Din ITSP PSTN GW eller Unified CM	Afhænger af PSTN-indstillingen (f.eks. typisk 5060 eller 5061 for Unified CM)
Enhedskonfiguration og firmwareadministration (Cisco-enheder)	Webex Calling-enheder	Kortvarig	TCP	3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26	443, 6970	Påkrævet af følgende årsager: Overførsel fra virksomhedstelefoner (Cisco Unified CM) til Webex Calling. Se upgrade.cisco.com for yderligere oplysninger. Cloudupgrader.webex.com bruger porte: 6970.443 for firmwaremigreringsprocessen. Firmwareopgraderinger og sikker onboarding af enheder (MPP og lokale- eller bordtelefoner) ved hjælp af den 16-cifrede aktiveringskode (GDS). For CDA/EDOS – MAC-adresse klargøring. Bruges af enheder (MPP-telefoner, ATA'er og SPA ATA'er) med nyere firmware. Når en telefon opretter forbindelse til et netværk for første gang, eller efter en fabriksnulstilling, uden at DHCP -indstillingerne er indstillet, kontakter den en enhedsaktiveringsserver med henblik på nulpunktsklargøring. Nye telefoner bruger "activate.cisco.com" i stedet for "webapps.cisco.com" til klargøring. Telefoner med firmware udgivet tidligere end 11.2(1) fortsætter med at bruge "webapps.cisco.com". Det anbefales at tillade alle disse IP undernet.
Applikationskonfiguration	Webex Calling-applikationer	Kortvarig	TCP	62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19	443, 8443	Bruges til Idbroker-godkendelse, applikationskonfigurationstjenester til klienter, browserbaseret webadgang til egenomsorg OG adgang til administrative grænseflader.
Synkronisering af enhedstid (NTP)	Webex Calling-enheder	51494	UDP	Se IP-undernet for Webex Calling-tjenester.	123	Disse IP-adresser er nødvendige for synkronisering af klokkeslæt for enheder (MPP-telefoner, ATA'er og SPA ATA'er)
Opløsning af enhedsnavn og programnavn	Webex Calling-enheder	Kortvarig	UDP og TCP	Værtsdefineret	53	Bruges til DNS -opslag for at finde IP -adresserne for Webex Calling -tjenester i skyen. Selvom typiske DNS -opslag udføres over UDP, kan nogle kræve TCP, hvis forespørgselssvarene ikke kan indeholde det i UDP pakker.
Synkronisering af klokkeslæt i applikationer	Webex Calling-applikationer	123	UPD	Værtsdefineret	123
CScan	Webbaseret Netværksparathed Prækvalifikationsværktøj til Webex Calling	Kortvarig	UPD	Se IP-undernet for Webex Calling-tjenester.	19569–19760	Webbaseret netværksparathed Prækvalifikationsværktøj til Webex Calling. Få flere oplysninger på cscan.webex.com.

Tabel 6. Yderligere Webex Calling- og Webex Aware-tjenester (tredjepart)
Tilslutningsformål	Kildeadresser	Kildeporte	Protokol	Destinationsadresser	Destinationsporte	Bemærkninger
Push-meddelelser APNS- og FCM-tjenester	Webex Calling-applikationer	Kortvarig	TCP	Se IP undernet, der er nævnt under linkene Apple Push Notification Service (APNS) Google-Firebase Cloud Meddelelser (FCM)	443, 2197, 5228, 5229, 5230, 5223	Underretninger til Webex -apps på mobilenheder (eksempel: Når du modtager en ny besked, eller når et opkald besvares)

^†^* CUBE medieport kan konfigureres med rtp-portområde .
Hvis der er konfigureret en proxyserver til dine apps og enheder, sendes signaltrafikken til proxyen. SRTP over UDP sendes ikke til proxyserver. Den skal i stedet flyde direkte til din firewall.
Hvis du bruger NTP og DNS -tjenester på dit virksomhedsnetværk, skal du åbne portene 53 og 123 gennem din firewall.