Richtlinien zu behördlichen Netzwerkanforderungen, einschließlich IP-Bereiche und Portkonfiguration für Webex Meetings und Webex Calling.
Schnellreferenz für Meetings-Ports und IP-Bereiche
Die folgenden IP-Bereiche werden von Sites verwendet, die im FedRAMP-Meeting-Cluster bereitgestellt werden. In diesem Dokument werden diese Bereiche als „Webex IP-Bereiche“ bezeichnet:
- 150.253.150.0/23 (150.253.150.0 bis 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 bis 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 bis 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 bis 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 bis 170.72.254.255)
- 170.133.156.0/22 (170.133.156.0 bis 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 bis 207.182.167.255)
- 207.182.168.0/23 (207.182.168.0 bis 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 bis 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 bis 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0 bis 216.151.130.255)
- 216.151.134.0/24 (216.151.134.0 bis 216.151.134.255)
- 216.151.135.0/25 (216.151.135.0 bis 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 bis 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 bis 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 bis 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 bis 216.151.139.254)
Bereitgestellte Dienste
Die in diesem IP-Bereich bereitgestellten Dienste umfassen unter anderem Folgendes:
- Die Meeting-Website (z. B. customersite.webex.com)
- Meeting-Datenserver
- Multimedia-Server für Computer-Audio (VoIP) und Webcam-Video
- XML-/API-Dienste, einschließlich der Planung von Produktivitätswerkzeugen
- Netzwerkbasierte Aufzeichnungsserver (NBR)
- Sekundäre Dienste, wenn sich die primären Dienste in der Wartung befinden oder technische Schwierigkeiten auftreten
Die folgenden URIs werden verwendet, um die 'Zertifikatssperrliste' auf unsere Sicherheitszertifikate zu überprüfen. Die Zertifikatssperrlisten stellen sicher, dass keine kompromittierten Zertifikate zum Abfangen des sicheren Webex-Datenverkehrs verwendet werden können. Dieser Datenverkehr erfolgt auf TCP-Port 80:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (IdenTrust-Zertifikate)
 | Die folgenden UserAgents werden von Webex durch den Utiltp-Prozess in Webex übergeben und sollten über die Firewall einer Agentur zugelassen werden:
|
https://activation.webex.com/api/v1/ping als Teil der zulässigen URLs. Es wird als Teil der Geräteaktivierung verwendet, und "das Gerät verwendet es, bevor es weiß, es ist ein FedRAMP-Gerät. Das Gerät sendet ihm einen Aktivierungscode ohne FedRAMP-Informationen, der Dienst sieht, dass es sich um einen FedRAMP-Aktivierungscode handelt, und leitet ihn dann weiter.“
Für den gesamten FedRAMP-Datenverkehr ist die TLS 1.2-Verschlüsselung und die mTLS 1.2-Verschlüsselung für lokale SIP-registrierte Geräte erforderlich.
Von Webex Meetings-Clients verwendete Ports (einschließlich Cloud-registrierte Geräte)
| Protokoll | Portnummer(n) | Richtung | Datenverkehrstyp | IP-Bereich | Kommentare | ||
|---|---|---|---|---|---|---|---|
| TCP | 80/443 | Ausgehend zu Webex | HTTP, HTTPS | Webex und AWS (Nicht empfohlen, nach IP zu filtern) |
Webex empfiehlt die Filterung nach URL. WENN Sie Nach IP-Adresse filtern, müssen Sie AWS GovCloud-, Cloudfront- und Webex-IP-Bereiche zulassen. | ||
| TCP/UDP | 53 | Ausgehend zu lokalem DNS | Domain Name Services (DNS) | Nur DNS-Server | Wird für die DNS-Suche verwendet, um die IP-Adressen der Webex-Server in der Cloud zu ermitteln. Auch wenn DNS-Suchen in der Regel über UDP erfolgen, erfordern einige möglicherweise TCP, wenn die Abfrageantworten nicht in UDP-Pakete passen. | ||
| UCP | 9000, 5004 | Ausgehend zu Webex | Primäre Webex Client-Medien (VoIP und Video RTP) | Webex | Der Webex Client-Medienport wird für den Austausch von Computeraudio-, Webcamvideo- und Inhaltsfreigabestreams verwendet. Das Öffnen dieses Ports ist erforderlich, um das bestmögliche Medienerlebnis sicherzustellen. | ||
| TCP | 5004, 443, 80 | Ausgehend zu Webex | Alternative Webex Client-Medien (VoIP und Video RTP) | Webex | Fallback-Ports für Medienkonnektivität, wenn UDP-Port 9000 nicht in der Firewall geöffnet ist | ||
| UDP/TCP | Audio: 52000 bis 52049 Video: 52100 bis 52199 | Eingehend in Ihr Netzwerk | Webex-Clientmedien (Voip und Video) | Rückkehr von AWS und Webex | Webex kommuniziert mit dem Zielport, der empfangen wird, wenn der Client seine Verbindung herstellt. Eine Firewall sollte so konfiguriert sein, dass diese Rückgabeverbindungen zugelassen werden.
| ||
| TCP/UDP | OS-spezifische kurzlebige Ports | Eingehend in Ihr Netzwerk | Rückgabe-Datenverkehr von Webex | Rückkehr von AWS und Webex | Webex kommuniziert mit dem Zielport, der empfangen wird, wenn der Client seine Verbindung herstellt. Eine Firewall sollte so konfiguriert sein, dass diese Rückgabeverbindungen zugelassen werden.
|
Für Kunden, die Webex for Government aktivieren und keine URL-basierte Filterung für HTTPS zulassen können, müssen Sie eine Verbindung mit AWS Gov Cloud West zulassen (Region: us‐gov‐west‐1) und Cloud Front (Service: CLOUDFRONT). Lesen Sie die AWS-Dokumentation, um die IP-Bereiche für die AWS Gov Cloud West-Region und AWS Cloud Front zu identifizieren. AWS-Dokumentation unter https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex empfiehlt nachdrücklich, nach Möglichkeit nach URL zu filtern.
Cloudfront wird für statische Inhalte verwendet, die über das Content Delivery Network geliefert werden, um Kunden die beste Leistung im ganzen Land zu bieten.
Von lokal registrierten Cisco-Geräten für die Videozusammenarbeit verwendete Ports
Siehe auch das Cisco Webex Meetings Enterprise-Bereitstellungshandbuch für videogerätefähige Meetings
| Protokoll | Portnummern | Richtung | Zugriffstyp | IP-Bereich | Kommentare |
|---|---|---|---|---|---|
| TCP | 5061 – 5070 | Ausgehend zu Webex | SIP-Signalisierung | Webex | Das Webex-Medien-Edge lauscht auf diesen Ports |
| TCP | 5061, 5065 | Eingehend in Ihr Netzwerk | SIP-Signalisierung | Webex | Eingehender SIP-Signalisierungsverkehr aus der Webex Cloud |
| TCP | 5061 | Ausgehend zu Webex | SIP-Signalisierung von in der Cloud registrierten Geräten | ÄCHZEN | Eingehende Anrufe von Webex App 1:1 Calling- und Cloud-registrierten Geräten an Ihren lokalen registrierten SIP-URI. *5061 ist der Standardport. Webex unterstützt 5061–5070 Ports, die von Kunden gemäß Definition in ihrem SIP SRV-Datensatz verwendet werden |
| TCP/UDP | 1719, 1720, 15000 – 19999 | Ausgehend zu Webex | H.323 LS | Webex | Wenn Ihr Endpunkt Gatekeeper-Kommunikation erfordert, öffnen Sie auch Port 1719, einschließlich Lifesize |
| TCP/UDP | Kurzlebige Ports, 36000–59999 | Eingang | Medienports | Webex | Wenn Sie einen Cisco Expressway verwenden, müssen die Medienbereiche auf 36000-59999 eingestellt sein. Wenn Sie einen Drittanbieter-Endpunkt oder eine Anrufsteuerung verwenden, müssen diese für die Verwendung dieses Bereichs konfiguriert werden. |
| TCP | 443 | Eingang | Proximity des lokalen Geräts | Lokales Netzwerk | Die Webex-App oder die Webex Desktop-App müssen über einen IPv4-Routenpfad zwischen sich selbst und dem Videogerät mit HTTPS verfügen |
Für Kunden, die Webex for Government aktivieren und Eingehende Anrufe von Webex App 1:1 Calling- und Cloud-registrierten Geräten auf Ihrem lokalen registrierten SIP-URI empfangen. Sie müssen auch Verbindungen mit AWS Gov Cloud West zulassen (Region: us‐gov‐west‐1). Überprüfen Sie die AWS-Dokumentation, um die IP-Bereiche für die AWS Gov Cloud West-Region zu identifizieren. Die AWS-Dokumentation finden Sie unter https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Von Edge Audio verwendete Ports
Dies ist nur erforderlich, wenn Sie Edge Audio nutzen.
| Protokoll | Portnummern | Richtung | Zugriffstyp | IP-Bereich | Kommentare |
|---|---|---|---|---|---|
| TCP | 5061 – 5062 | Eingehend in Ihr Netzwerk | SIP-Signalisierung | Webex | Eingehende SIP-Signalisierung für Edge Audio |
| TCP | 5061 – 5065 | Ausgehend zu Webex | SIP-Signalisierung | Webex | Ausgehende SIP-Signalisierung für Edge Audio |
| TCP/UDP | Kurzlebige Ports, 8000–59999 | Eingehend in Ihr Netzwerk | Medienports | Webex | In einer Unternehmens-Firewall müssen Ports für eingehenden Datenverkehr zum Expressway mit einem Portbereich von 8000–59999 geöffnet werden. |
Konfigurieren Sie mTLS mit den folgenden Optionen:
- Konfigurieren Sie | Expressway Mutual TLS-Authentifizierung .
- Unterstützte Stammzertifizierungsstellen | Cisco Webex Audio- und Videoplattformen .
- Edge Audio | Konfigurationsleitfaden .
Domänen und URLs für Webex Calling-Dienste
Ein * am Anfang einer URL (z. B. *.webex.com) gibt an, dass auf Dienste in der Top-Level-Domäne und allen Subdomänen zugegriffen werden kann.
| Domäne/URL | Beschreibung | Webex-Apps und -Geräte, die diese Domänen/URLs verwenden | ||
|---|---|---|---|---|
*.webex.com *.cisco.com *.webexgov.us | Webex Calling und Webex Aware-Dienste Identitätsbereitstellung Identitätsspeicher Authentifizierung OAuth-Dienste Geräte-Onboarding Wenn ein Telefon zum ersten Mal oder nach dem Werkseinstellung ohne festgelegte DHCP -Optionen mit einem Netzwerk verbunden wird, kontaktiert es einen Geräteaktivierungsserver für die Zero-Touch-Bereitstellung. Neue Telefone verwenden activate.cisco.com und Telefone mit einer Firmware-Version vor 11.2(1) verwenden weiterhin webapps.cisco.com für die Bereitstellung. Laden Sie die Geräte-Firmware und das Gebietsschema von herunter binaries.webex.com . | Alle | ||
| *.wbx2.com und *.ciscospark.com | Wird für Cloud Awareness, CSDM, WDM, Mercury usw. verwendet. Diese Dienste sind erforderlich, damit die Apps und Geräte Webex Calling und Webex Aware-Dienste während und nach dem Onboarding erreichen können. | Alle | ||
| *.webexapis.com | Webex-Mikrodienste, die Ihre Anwendungen und Geräte verwalten. Profilbilddienst Whiteboard-Dienst Proximity-Dienst Presence-Dienst Registrierungsdienst Kalenderdienst Suchdienst | Alle | ||
| *.webexcontent.com | Webex Nachrichten -Dienst im Zusammenhang mit der allgemeinen Dateispeicherung, einschließlich: Benutzerdateien Transkodierte Dateien Bilder Screenshots Whiteboard-Inhalt Client- und Geräteprotokolle Profilbilder Branding-Logos Protokolldateien Massenexport von CSV -Dateien und Import von Dateien (Control Hub) | Webex-App-Nachrichtendienste.
|
| Domäne/URL | Beschreibung | Webex-Apps und -Geräte, die diese Domänen/URLs verwenden |
|---|---|---|
*.appdynamics.com *.eum-appdynamics.com | Leistungsverfolgung, Fehler- und Absturzerfassung, Sitzungsmetriken. | Control Hub |
| *.huron-dev.com | Webex Calling-Mikrodienste wie Umschaltdienste, die Bestellung von Telefonnummern und Zuweisungsdienste. | Control Hub |
| *.sipflash.com | Geräteverwaltungsdienste. Firmware-Upgrades und sicheres Onboarding. | Webex-Apps |
*.google.com *.googleapis.com | Benachrichtigungen an Webex -Apps auf Mobilgeräten (Beispiel: neue Nachricht, wenn der Anruf angenommen wird) Informationen zu IP -Subnetzen finden Sie unter diesen Links | Webex-App |
IP-Subnetze für Webex Calling-Dienste
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
Von Webex Calling verwendete Ports
| Zweck der Verbindung: | Quelladressen | Quellports | Protokoll | Zieladressen | Zielports | Hinweise |
|---|---|---|---|---|---|---|
| Anrufsignalisierung an Webex Calling (SIP TLS) | Externe NIC des lokalen Gateways | 8000 – 65535 | TCP | Siehe IP-Subnetze für Webex Calling-Dienste. | 5062, 8934 | Diese IPs/Ports werden für ausgehende SIP-TLS-Anrufsignalisierung von lokalen Gateways, Geräten und Anwendungen (Quelle) zu Webex Calling Cloud (Ziel) benötigt. Port 5062 (erforderlich für zertifikatbasierten Übertragungsweg). Und Port 8934 (erforderlich für registrierungsbasierten Übertragungsweg) |
| Geräte | 5060 – 5080 | 8934 | ||||
| Anwendungen | Vorübergehend (vom Betriebssystem abhängig) | |||||
| Anrufmedien zu Webex Calling (STUN, SRTP | Externe NIC des lokalen Gateways | 8000 – 48198 † <UNK> * | UDP | Siehe IP-Subnetze für Webex Calling-Dienste. | 5004, 9000 (STUN-Ports) 8500–8700.19560–65535 (SRTP über UDP) | Diese IPs/Ports werden für ausgehende SRTP -Anrufmedien von lokalen Gateways, Geräten und Anwendungen (Quelle) an die Webex Calling Cloud (Ziel) verwendet. Bei Anrufen innerhalb der Organisation, für die STUN, ICE-Verhandlung erfolgreich ist, wird das Medienrelay in der Cloud als Kommunikationspfad entfernt. In solchen Fällen erfolgt der Medienfluss direkt zwischen den Apps/Geräten des Benutzers. Beispielsweise: Wenn die Medienoptimierung erfolgreich ist, senden Anwendungen Medien direkt an Ports zwischen 8500 und 9700 und Geräte senden Medien direkt an Ports zwischen 19560 und 19660. Erlauben Sie für bestimmte Netzwerktopologien, bei denen Firewalls innerhalb eines Kundenstandorts verwendet werden, den Zugriff auf die genannten Quell- und Zielportbereiche innerhalb Ihres Netzwerks, damit die Medien durchfließen können. Beispiel: Lassen Sie für Anwendungen den Quell- und Zielportbereich 8500–8700 zu. |
| Geräte | 19560 – 19660 | |||||
| Anwendungen | 8500 – 8700 | |||||
| Anrufsignalisierung an PSTN-Gateway (SIP TLS) | Interne NIC des lokalen Gateways | 8000 – 65535 | TCP | Ihr ITSP-PSTN-GW oder Unified CM | Hängt von PSTN-Option ab (Beispiel: normalerweise 5060 oder 5061 für Unified CM) | |
| Anrufmedien an PSTN-Gateway (SRTP) | Interne NIC des lokalen Gateways | 8000 – 48198 † <UNK> * | UDP | Ihr ITSP-PSTN-GW oder Unified CM | Hängt von der PSTN-Option ab (z. B. normalerweise 5060 oder 5061 für Unified CM) | |
| Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte) | Webex Calling-Geräte | Vorübergehend | TCP | 3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 | Aus folgenden Gründen erforderlich:
|
| Anwendungskonfiguration | Webex Calling-Anwendungen | Vorübergehend | TCP | 62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Wird für die Idbroker-Authentifizierung, Anwendungskonfigurationsdienste für Clients, den browserbasierten Webzugriff zur Selbsthilfe UND für den Zugriff auf administrative Schnittstellen verwendet. |
| Synchronisierung der Gerätezeit (NTP) | Webex Calling-Geräte | 51494 | UDP | Siehe IP-Subnetze für Webex Calling-Dienste. | 123 | Diese IP-Adressen sind für die Zeitsynchronisierung für Geräte (MPP-Telefone, ATAs und SPA-ATAs) erforderlich. |
| Auflösung des Gerätenamens und Auflösung des Anwendungsnamens | Webex Calling-Geräte | Vorübergehend | UDP und TCP | Vom Host definiert | 53 | Wird für DNS -Suchen verwendet, um die IP -Adressen von Webex Calling -Diensten in der Cloud zu ermitteln. Auch wenn typische DNS -Suchen über UDP ausgeführt werden, erfordern einige möglicherweise TCP, wenn die Abfrageantworten nicht in UDP Pakete passen. |
| Synchronisierung der Anwendungszeit | Webex Calling-Anwendungen | 123 | UPD | Vom Host definiert | 123 | |
| CScan | Webbasiertes Netzwerkfähigkeits-Präqualifizierungstool für Webex Calling | Vorübergehend | UPD | Siehe IP-Subnetze für Webex Calling-Dienste. | 19569 – 19760 | Webbasiertes Netzwerkfähigkeits-Präqualifizierungstool für Webex Calling. Weitere Informationen finden Sie unter cscan.webex.com. |
| Zweck der Verbindung: | Quelladressen | Quellports | Protokoll | Zieladressen | Zielports | Hinweise |
|---|---|---|---|---|---|---|
| Push-Benachrichtigungen APNS- und FCM-Dienste | Webex Calling-Anwendungen | Vorübergehend | TCP | Siehe IP -Subnetze unter den Links | 443, 2197, 5228, 5229, 5230, 5223 | Benachrichtigungen an Webex -Apps auf Mobilgeräten (Beispiel: Wenn Sie eine neue Nachricht erhalten oder ein Anruf angenommen wird) |
|
|
