Danke für Ihr Feedback.
Netzwerkanforderungen für Webex for Government (FedRAMP)
Feedback?
Kurzreferenz zu Meeting-Ports und IP-Bereichen
Die folgenden IP-Bereiche werden von Sites genutzt, die auf dem FedRAMP-Meeting-Cluster bereitgestellt werden. Für dieses Dokument werden diese Bereiche als „Webex-IP-Bereiche“ bezeichnet:
- 150.253.150.0/23 (150.253.150.0 bis 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 bis 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 bis 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 bis 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 bis 170.72.254.255)
- 170.133.156.0/22 (170.133.156.0 bis 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 bis 207.182.167.255)
- 207.182.168.0/23 (207.182.168.0 bis 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 bis 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 bis 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0 bis 216.151.130.255)
- 216.151.134.0/24 (216.151.134.0 bis 216.151.134.255)
- 216.151.135.0/25 (216.151.135.0 bis 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 bis 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 bis 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 bis 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 bis 216.151.139.254)
Bereitgestellte Dienste
Zu den in diesem IP-Bereich bereitgestellten Diensten gehören unter anderem die folgenden:
- Die Meeting-Website (z. B. customersite.webex.com)
- Meeting-Datenserver
- Multimedia-Server für Computer-Audio (VoIP) und Webcam-Video
- XML-/API-Dienste, einschließlich Ansetzen von Produktivitätswerkzeugen
- Network-Based Recording (NBR)-Server
- Sekundäre Dienste, wenn sich die primären Dienste in der Wartung befinden oder technische Schwierigkeiten haben
Die folgenden URIs werden verwendet, um die "Zertifikatssperrliste" für unsere Sicherheitszertifikate zu überprüfen. Die Zertifikatssperrlisten gewährleisten, dass keine kompromittierten Zertifikate zum Abfangen eines sicheren Webex-Datenverkehrs verwendet werden können. Dieser Datenverkehr tritt auf TCP-Port 80 auf:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (IdenTrust-Zertifikate)
Die folgenden UserAgents werden von Webex durch den Utiltp-Prozess in Webex übergeben und sollten über die Firewall einer Agentur zugelassen werden:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping als Teil der zulässigen URLs. Es wird als Teil des Geräteaktivierungsprozesses verwendet und „das Gerät verwendet es, bevor es weiß, dass es sich um ein FedRAMP-Gerät handelt. Das Gerät sendet ihm einen Aktivierungscode ohne FedRAMP-Informationen. Der Dienst erkennt, dass es sich um einen FedRAMP-Aktivierungscode handelt, und leitet ihn dann um.“
Der gesamte FedRAMP-Datenverkehr erfordert die TLS 1.2-Verschlüsselung und die mTLS 1.2-Verschlüsselung für lokale SIP-registrierte Geräte.
Von Webex Meetings-Clients verwendete Ports (einschließlich Cloud-registrierte Geräte)
| Protokoll | Portnummer(n) | Richtung | Datenverkehrstyp | IP-Bereich | Kommentare |
|---|---|---|---|---|---|
| TCP | 80/443 | Ausgehend zu Webex | HTTP, HTTPS | Webex und AWS (Nicht empfohlen, nach IP zu filtern) |
Webex empfiehlt, nach URL zu filtern. Wenn SIE Nach IP-Adresse filtern, müssen Sie die IP-Bereiche AWS GovCloud, Cloudfront und Webex zulassen. |
| TCP/UDP | 53 | Ausgehend zu lokalem DNS | Domänenname-Dienste (DNS) | Nur DNS-Server | Wird für die DNS-Suche verwendet, um die IP-Adressen der Webex-Server in der Cloud zu ermitteln. Auch wenn DNS-Suchen in der Regel über UDP erfolgen, erfordern einige möglicherweise TCP, wenn die Abfrageantworten nicht in UDP-Pakete passen. |
| UDP | 9000, 5004 | Ausgehend zu Webex | Primäre Webex Client-Medien (VoIP und Video RTP) | Webex | Der Medienport des Webex-Clients wird zum Austauschen von Computeraudio, Webcam-Video und Inhalte teilen verwendet. Das Öffnen dieses Ports ist erforderlich, um ein optimales Medienerlebnis sicherzustellen. |
| TCP | 5004, 443, 80 | Ausgehend zu Webex | Alternative Webex Client-Medien (VoIP und Video RTP) | Webex | Fall-Back-Ports für Medienkonnektivität, wenn der UDP-Port 9000 nicht in der Firewall offen ist |
| UDP/TCP |
Audio: 52000 bis 52049 Video: 52100 bis 52199 | Eingehend zu Ihrem Netzwerk | Webex Client-Medien (VoIP und Video) | Von AWS und Webex zurückkehren |
Webex kommuniziert mit dem Zielport, der empfangen wird, wenn der Client seine Verbindung herstellt. Eine Firewall sollte so konfiguriert sein, dass diese Rückgabeverbindungen zugelassen werden. Dies ist standardmäßig aktiviert. |
| TCP/UDP | OS-spezifische kurzlebigen Ports | Eingehend zu Ihrem Netzwerk | Rückgabeverkehr von Webex | Von AWS und Webex zurückkehren |
Webex kommuniziert mit dem Zielport, der empfangen wird, wenn der Client seine Verbindung herstellt. Eine Firewall sollte so konfiguriert sein, dass diese Rückgabeverbindungen zugelassen werden. Dies wird in der Regel automatisch in einer zustandsbehafteten Firewall geöffnet, aber hier wird es zur Vollständigkeit aufgeführt. |
Für Kunden, die Webex for Government aktivieren und keine URL-basierte Filterung für HTTPS zulassen, müssen Sie die Konnektivität mit AWS Gov Cloud West (Region: us-gov-west-1) und Cloud Front (Dienst: CLOUDFRONT). Bitte lesen Sie die AWS-Dokumentation, um die IP-Bereiche für AWS Gov Cloud West und AWS Cloud Front zu identifizieren. Die AWS-Dokumentation finden Sie unter https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex empfiehlt dringend, wenn möglich nach URL zu filtern.
Cloudfront wird für statische Inhalte verwendet, die über das Content Delivery Network bereitgestellt werden, um Kunden die beste Leistung innerhalb des Landes zu bieten.
Von am Standort registrierten Cisco-Geräten für die Videozusammenarbeit verwendete Ports
Siehe auch Cisco Webex Meetings Enterprise-Bereitstellungshandbuch für videogerätefähige Meetings.
| Protokoll | Portnummern | Richtung | Zugriffstyp | IP-Bereich | Kommentare |
|---|---|---|---|---|---|
| TCP | 5061—5070 | Ausgehend zu Webex | SIP-Signalisierung | Webex | Der Webex-Medien-Edge hört auf diesen Ports |
| TCP | 5061, 5065 | Eingehend zu Ihrem Netzwerk | SIP-Signalisierung | Webex | Eingehender SIP-Signalisierungsverkehr aus der Webex Cloud |
| TCP | 5061 | Ausgehend zu Webex | SIP-Signalisierung von in der Cloud registrierten Geräten | Aws | Eingehende Anrufe von Webex-App 1:1-Anrufen und Cloud-registrierten Geräten zu Ihrem lokal registrierten SIP-URI. *5061 ist der Standardport. Webex unterstützt 5061 bis 5070 Ports, die von Kunden gemäß Definition in ihrem SIP SRV-Eintrag verwendet werden |
| TCP/UDP | 1719, 1720, 15000—19999 | Ausgehend zu Webex | H.323 LS | Webex | Wenn Ihr Endpunkt eine Gatekeeper-Kommunikation erfordert, öffnen Sie auch den Port 1719, der Lifesize enthält. |
| TCP/UDP | Kurzlebige Ports, 36000—59999 | Eingang | Medienports | Webex | Wenn Sie einen Bereich Cisco Expressway, müssen die Medienbereiche auf 36000-59999 eingestellt sein. Wenn Sie einen Drittanbieter-Endpunkt oder eine Anrufsteuerung verwenden, müssen diese für die Verwendung dieses Bereichs konfiguriert werden. |
| TCP | 443 | Eingang | Geräte-Proximity vor Ort | Lokales Netzwerk | Die Webex-App oder die Webex-Desktop-App muss über einen IPv4-Routen-fähigen Pfad zwischen sich und dem Videogerät mithilfe von HTTPS verfügen. |
Für Kunden, die Webex für Regierung aktivieren, eingehende Anrufe von Webex App 1:1 Calling- und Cloud-registrierten Geräten zu Ihrer lokal registrierten SIP-URI erhalten. Sie müssen auch Konnektivität mit AWS Gov Cloud West (Region: us-gov-west-1). Bitte lesen Sie die AWS-Dokumentation, um die IP-Bereiche für die Region AWS Gov Cloud West zu identifizieren. Die AWS-Dokumentation ist verfügbar unter https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Von Edge Audio verwendete Ports
Dies ist nur erforderlich, wenn Sie Edge Audio nutzen.
| Protokoll | Portnummern | Richtung | Zugriffstyp | IP-Bereich | Kommentare |
|---|---|---|---|---|---|
| TCP | 5061—5062 | Eingehend zu Ihrem Netzwerk | SIP-Signalisierung | Webex | Eingehende SIP-Signalisierung für Edge Audio |
| TCP | 5061—5065 | Ausgehend zu Webex | SIP-Signalisierung | Webex | Ausgehende SIP-Signalisierung für Edge Audio |
| TCP/UDP | Kurzlebige Ports, 8000–59999 | Eingehend zu Ihrem Netzwerk | Medienports | Webex | In einer Unternehmens-Firewall müssen Ports für eingehenden Datenverkehr auf dem Expressway mit einem Portbereich von 8000 bis 59999 geöffnet werden. |
Konfigurieren Sie mTLS mit den folgenden Optionen:
- | Konfigurieren Expressway Mutual TLS-Authentifizierung.
- Unterstützte Stammzertifizierungsstellen Cisco Webex | für Audio- und Videoplattformen.
- Edge Audio | Konfigurationsleitfaden.
Domänen und URLs für Webex Calling-Dienste
Ein * am Anfang einer URL (z. B. *.webex.com) zeigt an, dass auf Dienste in der Domäne der obersten Ebene und alle Unterdomänen zugegriffen werden kann.
| Domäne/URL | Beschreibung | Webex-Apps und -Geräte, die diese Domänen/URLs verwenden |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
Kern-Webex Calling- und Webex Aware-Dienste Identitätsbereitstellung Identitätsspeicher Authentifizierung OAuth-Dienste Geräteaufnahme Wenn ein Telefon zum ersten Mal mit einem Netzwerk verbunden wird oder nach dem Zurücksetzen auf die Werkseinstellungen keine DHCP-Optionen festgelegt wurden, kontaktiert es einen Geräteaktivierungsserver für die Zero-Touch-Bereitstellung. Neue Telefone verwenden activate.cisco.com und Telefone mit Firmware-Version vor 11.2(1) verwenden weiterhin webapps.cisco.com für die Bereitstellung. Laden Sie die Geräte-Firmware und die Gebietsaktualisierungen von binaries.webex.com herunter. | Alle |
| *.wbx2.com und *.ciscospark.com | Wird für Cloud-Bewusstsein, CSDM, WDM, Quecksilber usw. verwendet. Diese Dienste sind notwendig, damit Apps und Geräte während und nach dem Onboarding die Webex Calling- und Webex Aware-Dienste nutzen können. | Alle |
| *.webexapis.com |
Webex-Mikrodienste, die Ihre Anwendungen und Geräte verwalten. Profilbilddienst Whiteboard-Dienst Proximity-Dienst Präsenzservice Registrierungsdienst Kalenderdienst Suchdienst | Alle |
| *.webexcontent.com |
Webex Messaging-Dienst in Bezug auf allgemeinen Dateispeicher, einschließlich: Benutzerdateien Transcodierte Dateien Bilder Screenshots Whiteboard-Inhalt Client- und Geräteprotokolle Profilbilder Branding-Logos Protokolldateien Massen-CSV-Exportdateien und -Importdateien (Control Hub) | Nachrichtendienste der Webex-App. Dateispeicherung mit webexcontent.com im Oktober 2019 durch clouddrive.com ersetzt |
| Domäne/URL | Beschreibung | Webex-Apps und -Geräte, die diese Domänen/URLs verwenden |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | Leistungsverfolgung, Fehler- und Absturzerfassung, Sitzungsmetriken. | Control Hub |
| *.huron-dev.com | Webex Calling-Mikrodienste wie Umschaltdienste, die Bestellung von Telefonnummern und Zuweisungsdienste. | Control Hub |
| *.sipflash.com | Geräteverwaltungsdienste. Firmware-Upgrades und sichere Onboarding-Zwecke. | Webex-Apps |
|
*.google.com *.googleapis.com |
Benachrichtigungen an Webex-Apps auf Mobilgeräten (Beispiel: neue Nachricht, wenn der Anruf angenommen wird) Informationen zu IP-Subnetzen finden Sie unter diesen Links. | Webex App |
IP-Subnetze für Webex Calling-Dienste
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
Von Webex Calling verwendete Ports
| Zweck der Verbindung: | Quelladressen | Quellports | Protokoll | Zieladressen | Zielports | Hinweise |
|---|---|---|---|---|---|---|
| Anrufsignalisierung für WebEx Calling (SIP TLs) | Externe NIC des lokalen Gateways | 8000—65535 | TCP | Siehe IP-Subnetze für Webex Calling-Dienste. | 5062, 8934 |
Diese IPs/Ports werden für ausgehende SIP-TLS-Anrufsignalisierung von lokalen Gateways, Geräten und Anwendungen (Quelle) zu Webex Calling Cloud (Ziel) benötigt. Port 5062 (erforderlich für zertifikatbasierten Trunk). Und Port 8934 (erforderlich für registrierungsbasierten Trunk |
| Geräte | 5060—5080 | 8934 | ||||
| Anwendungen | Vorübergehend (vom Betriebssystem abhängig) | |||||
| Anrufmedien zu WebEx Calling (SRTP) | Externer NIC des lokalen Gateways | 8000—48198†* | UDP | Siehe IP-Subnetze für Webex Calling-Dienste. |
8500—8700,19560—65535 (SRTP über UDP) |
STUN, ICE-Lite-basierte Medienoptimierung wird für Webex for Government nicht unterstützt. Diese IPs/Ports werden für ausgehende SRTP-Anrufmedien von lokalen Gateways, Geräten und Anwendungen (Quelle) zur Webex Calling-Cloud (Ziel) verwendet. Erlauben Sie für bestimmte Netzwerktopologien, bei denen Firewalls innerhalb eines Kundenstandorts verwendet werden, den Zugriff auf die genannten Quell- und Zielportbereiche innerhalb Ihres Netzwerks, damit die Medien durchfließen können. Beispiel: Erlauben Sie bei Anwendungen den Quell- und Zielportbereich 8500–8700. |
| Geräte | 19560—19660 | |||||
| Anwendungen | 8500—8700 | |||||
| Anrufsignalisierung an PSTN-Gateway (SIP TLS) | Interne NIC des lokalen Gateways | 8000—65535 | TCP | Ihr ITSP-PSTN-GW oder Unified CM | Hängt von PSTN-Option ab (Beispiel: normalerweise 5060 oder 5061 für Unified CM) | |
| Anrufmedien an PSTN-Gateway (SRTP) | Interne NIC des lokalen Gateways | 8000—48198†* | UDP | Ihr ITSP-PSTN-GW oder Unified CM | Hängt von der PSTN-Option ab (z. B. normalerweise 5060 oder 5061 für Unified CM) | |
| Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte) | WebEx Calling Geräte | Vorübergehend | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
Erforderlich aus folgenden Gründen:
|
| Anwendungskonfiguration | WebEx Calling Anwendungen | Vorübergehend | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Wird für die Idbroker-authentifizierung, Anwendungskonfigurationsdienste für Clients, browserbasierter Webzugriff für den Zugriff auf Self-Service UND Verwaltungsschnittstellen verwendet. |
| Synchronisierung der Gerätezeit (NTP) | WebEx Calling Geräte | 51494 | UDP | Siehe IP-Subnetze für Webex Calling-Dienste. | 123 | Diese IP-Adressen sind für die Zeitsynchronisierung für Geräte (MPP-Telefone, ATAs und SPA-ATAs) erforderlich. |
| Auflösung von Gerätenamen und Anwendungsnamen | WebEx Calling Geräte | Vorübergehend | UDP und TCP | Vom Host definiert | 53 | Wird für DNS-Suchen verwendet, um die IP-Adressen der Webex Calling-Dienste in der Cloud zu ermitteln. Obwohl typische DNS-Suchen über UDP durchgeführt werden, benötigen einige möglicherweise TCP, wenn die Abfrageantworten nicht in UDP-Pakete passen. |
| Synchronisierung der Anwendungszeit | WebEx Calling Anwendungen | 123 | Upd | Vom Host definiert | 123 | |
| CScan | Webbasiertes Tool zur Vorbereitung der Netzwerkfähigkeit für Webex Calling | Kurzlebig | Upd | Siehe IP-Subnetze für Webex Calling-Dienste. | 19569—19760 | Webbasiertes Tool zur Vorbereitung der Netzwerkbereitschaft für Webex Calling. Weitere Informationen finden Sie unter cscan.webex.com. |
| Zweck der Verbindung: | Quelladressen | Quellports | Protokoll | Zieladressen | Zielports | Hinweise |
|---|---|---|---|---|---|---|
| Push-Benachrichtigungen APNS- und FCM-Dienste | WebEx Calling Anwendungen | Vorübergehend | TCP |
Siehe IP-Subnetze unter den Links | 443, 2197, 5228, 5229, 5230, 5223 | Benachrichtigungen an Webex-Apps auf Mobilgeräten (Beispiel: Wenn Sie eine neue Nachricht erhalten oder ein Anruf angenommen wird) |
- †* CUBE-Medienportbereich kann mit rtp-Portbereich konfiguriert werden .
- Wenn eine Proxyserveradresse für Ihre Apps und Geräte konfiguriert ist, wird der Signalisierungsverkehr an den Proxy gesendet. Medien transportierte SRTP über UDP werden nicht an den Proxyserver gesendet. Sie muss stattdessen direkt in Ihre Firewall fließen.
- Wenn Sie NTP- und DNS-Dienste in Ihrem Unternehmensnetzwerk verwenden, öffnen Sie die Ports 53 und 123 in Ihrer Firewall.
