Schnellreferenz für Meetings-Ports und IP-Bereiche

Die folgenden IP-Bereiche werden von Sites verwendet, die im FedRAMP-Meeting-Cluster bereitgestellt werden. In diesem Dokument werden diese Bereiche als „Webex IP-Bereiche“ bezeichnet:

  • 150.253.150.0/23 (150.253.150.0 bis 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 bis 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 bis 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 bis 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 bis 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 bis 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 bis 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 bis 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 bis 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 bis 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 bis 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 bis 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 bis 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 bis 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 bis 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 bis 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 bis 216.151.139.254)

Bereitgestellte Dienste

Die in diesem IP-Bereich bereitgestellten Dienste umfassen unter anderem Folgendes:

  • Die Meeting-Website (z. B. customersite.webex.com)
  • Meeting-Datenserver
  • Multimedia-Server für Computer-Audio (VoIP) und Webcam-Video
  • XML-/API-Dienste, einschließlich der Planung von Produktivitätswerkzeugen
  • Netzwerkbasierte Aufzeichnungsserver (NBR)
  • Sekundäre Dienste, wenn sich die primären Dienste in der Wartung befinden oder technische Schwierigkeiten auftreten

Die folgenden URIs werden verwendet, um die 'Zertifikatssperrliste' auf unsere Sicherheitszertifikate zu überprüfen. Die Zertifikatssperrlisten stellen sicher, dass keine kompromittierten Zertifikate zum Abfangen des sicheren Webex-Datenverkehrs verwendet werden können. Dieser Datenverkehr erfolgt auf TCP-Port 80:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (IdenTrust-Zertifikate)

 

Die folgenden UserAgents werden von Webex durch den Utiltp-Prozess in Webex übergeben und sollten über die Firewall einer Agentur zugelassen werden:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping als Teil der zulässigen URLs. Es wird als Teil der Geräteaktivierung verwendet, und "das Gerät verwendet es, bevor es weiß, es ist ein FedRAMP-Gerät. Das Gerät sendet ihm einen Aktivierungscode ohne FedRAMP-Informationen, der Dienst sieht, dass es sich um einen FedRAMP-Aktivierungscode handelt, und leitet ihn dann weiter.“

Für den gesamten FedRAMP-Datenverkehr ist die TLS 1.2-Verschlüsselung und die mTLS 1.2-Verschlüsselung für lokale SIP-registrierte Geräte erforderlich.

Von Webex Meetings-Clients verwendete Ports (einschließlich Cloud-registrierte Geräte)

ProtokollPortnummer(n)RichtungDatenverkehrstypIP-BereichKommentare
TCP80/443Ausgehend zu WebexHTTP, HTTPSWebex und AWS (Nicht empfohlen, nach IP zu filtern)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (wird für statische Inhalte und Dateien verwendet)
  • *.wbx2.com

Webex empfiehlt die Filterung nach URL. WENN Sie Nach IP-Adresse filtern, müssen Sie AWS GovCloud-, Cloudfront- und Webex-IP-Bereiche zulassen.

TCP/UDP53Ausgehend zu lokalem DNSDomain Name Services (DNS)Nur DNS-ServerWird für die DNS-Suche verwendet, um die IP-Adressen der Webex-Server in der Cloud zu ermitteln. Auch wenn DNS-Suchen in der Regel über UDP erfolgen, erfordern einige möglicherweise TCP, wenn die Abfrageantworten nicht in UDP-Pakete passen.
UCP9000, 5004Ausgehend zu WebexPrimäre Webex Client-Medien (VoIP und Video RTP)WebexDer Webex Client-Medienport wird für den Austausch von Computeraudio-, Webcamvideo- und Inhaltsfreigabestreams verwendet. Das Öffnen dieses Ports ist erforderlich, um das bestmögliche Medienerlebnis sicherzustellen.
TCP5004, 443, 80Ausgehend zu WebexAlternative Webex Client-Medien (VoIP und Video RTP)WebexFallback-Ports für Medienkonnektivität, wenn UDP-Port 9000 nicht in der Firewall geöffnet ist
UDP/TCP

Audio: 52000 bis 52049

Video: 52100 bis 52199

Eingehend in Ihr NetzwerkWebex-Clientmedien (Voip und Video)Rückkehr von AWS und Webex

Webex kommuniziert mit dem Zielport, der empfangen wird, wenn der Client seine Verbindung herstellt. Eine Firewall sollte so konfiguriert sein, dass diese Rückgabeverbindungen zugelassen werden.


 
Dies ist standardmäßig aktiviert.
TCP/UDPOS-spezifische kurzlebige PortsEingehend in Ihr NetzwerkRückgabe-Datenverkehr von WebexRückkehr von AWS und Webex

Webex kommuniziert mit dem Zielport, der empfangen wird, wenn der Client seine Verbindung herstellt. Eine Firewall sollte so konfiguriert sein, dass diese Rückgabeverbindungen zugelassen werden.


 
Diese wird in der Regel automatisch in einer zustandsbehafteten Firewall geöffnet, wird jedoch hier zur Vollständigkeit aufgeführt.

Für Kunden, die Webex for Government aktivieren und keine URL-basierte Filterung für HTTPS zulassen können, müssen Sie eine Verbindung mit AWS Gov Cloud West zulassen (Region: us‐gov‐west‐1) und Cloud Front (Service: CLOUDFRONT). Lesen Sie die AWS-Dokumentation, um die IP-Bereiche für die AWS Gov Cloud West-Region und AWS Cloud Front zu identifizieren. AWS-Dokumentation unter https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex empfiehlt nachdrücklich, nach Möglichkeit nach URL zu filtern.

Cloudfront wird für statische Inhalte verwendet, die über das Content Delivery Network geliefert werden, um Kunden die beste Leistung im ganzen Land zu bieten.

Von lokal registrierten Cisco-Geräten für die Videozusammenarbeit verwendete Ports

Siehe auch das Cisco Webex Meetings Enterprise-Bereitstellungshandbuch für videogerätefähige Meetings

ProtokollPortnummernRichtungZugriffstypIP-BereichKommentare
TCP5061 – 5070Ausgehend zu WebexSIP-SignalisierungWebexDas Webex-Medien-Edge lauscht auf diesen Ports
TCP5061, 5065Eingehend in Ihr NetzwerkSIP-SignalisierungWebexEingehender SIP-Signalisierungsverkehr aus der Webex Cloud
TCP5061Ausgehend zu WebexSIP-Signalisierung von in der Cloud registrierten GerätenÄCHZENEingehende Anrufe von Webex App 1:1 Calling- und Cloud-registrierten Geräten an Ihren lokalen registrierten SIP-URI. *5061 ist der Standardport. Webex unterstützt 5061–5070 Ports, die von Kunden gemäß Definition in ihrem SIP SRV-Datensatz verwendet werden
TCP/UDP1719, 1720, 15000 – 19999Ausgehend zu WebexH.323 LSWebexWenn Ihr Endpunkt Gatekeeper-Kommunikation erfordert, öffnen Sie auch Port 1719, einschließlich Lifesize
TCP/UDPKurzlebige Ports, 36000–59999EingangMedienportsWebexWenn Sie einen Cisco Expressway verwenden, müssen die Medienbereiche auf 36000-59999 eingestellt sein. Wenn Sie einen Drittanbieter-Endpunkt oder eine Anrufsteuerung verwenden, müssen diese für die Verwendung dieses Bereichs konfiguriert werden.
TCP443EingangProximity des lokalen GerätsLokales NetzwerkDie Webex-App oder die Webex Desktop-App müssen über einen IPv4-Routenpfad zwischen sich selbst und dem Videogerät mit HTTPS verfügen

Für Kunden, die Webex for Government aktivieren und Eingehende Anrufe von Webex App 1:1 Calling- und Cloud-registrierten Geräten auf Ihrem lokalen registrierten SIP-URI empfangen. Sie müssen auch Verbindungen mit AWS Gov Cloud West zulassen (Region: us‐gov‐west‐1). Überprüfen Sie die AWS-Dokumentation, um die IP-Bereiche für die AWS Gov Cloud West-Region zu identifizieren. Die AWS-Dokumentation finden Sie unter https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Von Edge Audio verwendete Ports

Dies ist nur erforderlich, wenn Sie Edge Audio nutzen.

ProtokollPortnummernRichtungZugriffstypIP-BereichKommentare
TCP5061 – 5062Eingehend in Ihr NetzwerkSIP-SignalisierungWebexEingehende SIP-Signalisierung für Edge Audio
TCP5061 – 5065Ausgehend zu WebexSIP-SignalisierungWebexAusgehende SIP-Signalisierung für Edge Audio
TCP/UDPKurzlebige Ports, 8000–59999Eingehend in Ihr NetzwerkMedienportsWebexIn einer Unternehmens-Firewall müssen Ports für eingehenden Datenverkehr zum Expressway mit einem Portbereich von 8000–59999 geöffnet werden.

Konfigurieren Sie mTLS mit den folgenden Optionen:

Domänen und URLs für Webex Calling-Dienste

Ein * am Anfang einer URL (z. B. *.webex.com) gibt an, dass auf Dienste in der Top-Level-Domäne und allen Subdomänen zugegriffen werden kann.

Tabelle 3. Webex-Services
Domäne/URLBeschreibungWebex-Apps und -Geräte, die diese Domänen/URLs verwenden

*.webex.com

*.cisco.com

*.webexgov.us

Webex Calling und Webex Aware-Dienste

Identitätsbereitstellung

Identitätsspeicher

Authentifizierung

OAuth-Dienste

Geräte-Onboarding

Wenn ein Telefon zum ersten Mal oder nach dem Werkseinstellung ohne festgelegte DHCP -Optionen mit einem Netzwerk verbunden wird, kontaktiert es einen Geräteaktivierungsserver für die Zero-Touch-Bereitstellung. Neue Telefone verwenden activate.cisco.com und Telefone mit einer Firmware-Version vor 11.2(1) verwenden weiterhin webapps.cisco.com für die Bereitstellung.

Laden Sie die Geräte-Firmware und das Gebietsschema von herunter binaries.webex.com .

Alle
*.wbx2.com und *.ciscospark.comWird für Cloud Awareness, CSDM, WDM, Mercury usw. verwendet. Diese Dienste sind erforderlich, damit die Apps und Geräte Webex Calling und Webex Aware-Dienste während und nach dem Onboarding erreichen können.Alle
*.webexapis.com

Webex-Mikrodienste, die Ihre Anwendungen und Geräte verwalten.

Profilbilddienst

Whiteboard-Dienst

Proximity-Dienst

Presence-Dienst

Registrierungsdienst

Kalenderdienst

Suchdienst

Alle
*.webexcontent.com

Webex Nachrichten -Dienst im Zusammenhang mit der allgemeinen Dateispeicherung, einschließlich:

Benutzerdateien

Transkodierte Dateien

Bilder

Screenshots

Whiteboard-Inhalt

Client- und Geräteprotokolle

Profilbilder

Branding-Logos

Protokolldateien

Massenexport von CSV -Dateien und Import von Dateien (Control Hub)

Webex-App-Nachrichtendienste.

 
Die Dateispeicherung webexcontent.com wurde im Oktober 2019 durch clouddrive.com ersetzt.
Tabelle 4. Zusätzliche Webex-bezogene Dienste (Domänen von Drittanbietern)
Domäne/URLBeschreibungWebex-Apps und -Geräte, die diese Domänen/URLs verwenden

*.appdynamics.com

*.eum-appdynamics.com

Leistungsverfolgung, Fehler- und Absturzerfassung, Sitzungsmetriken.Control Hub
*.huron-dev.comWebex Calling-Mikrodienste wie Umschaltdienste, die Bestellung von Telefonnummern und Zuweisungsdienste.Control Hub
*.sipflash.comGeräteverwaltungsdienste. Firmware-Upgrades und sicheres Onboarding.Webex-Apps

*.google.com

*.googleapis.com

Benachrichtigungen an Webex -Apps auf Mobilgeräten (Beispiel: neue Nachricht, wenn der Anruf angenommen wird)

Informationen zu IP -Subnetzen finden Sie unter diesen Links

Google Firebase Cloud Nachrichten (FCM)-Dienst

Apple Push-Benachrichtigung (APNS)

Webex-App

IP-Subnetze für Webex Calling-Dienste

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Von Webex Calling verwendete Ports

Tabelle 5: Webex Calling- und Webex Aware-Dienste
Zweck der Verbindung:QuelladressenQuellportsProtokollZieladressenZielportsHinweise
Anrufsignalisierung an Webex Calling (SIP TLS)Externe NIC des lokalen Gateways8000 – 65535TCPSiehe IP-Subnetze für Webex Calling-Dienste.5062, 8934

Diese IPs/Ports werden für ausgehende SIP-TLS-Anrufsignalisierung von lokalen Gateways, Geräten und Anwendungen (Quelle) zu Webex Calling Cloud (Ziel) benötigt.

Port 5062 (erforderlich für zertifikatbasierten Übertragungsweg). Und Port 8934 (erforderlich für registrierungsbasierten Übertragungsweg)

Geräte5060 – 50808934
AnwendungenVorübergehend (vom Betriebssystem abhängig)
Anrufmedien an Webex Calling (SRTP)Externe NIC des lokalen Gateways8000 – 48198 <UNK> *UDPSiehe IP-Subnetze für Webex Calling-Dienste.

8500–8700.19560–65535 (SRTP über UDP)

STUN, ICE-Lite-basierte Medienoptimierung wird für Webex for Government nicht unterstützt.

Diese IPs/Ports werden für ausgehende SRTP -Anrufmedien von lokalen Gateways, Geräten und Anwendungen (Quelle) an die Webex Calling Cloud (Ziel) verwendet.

Erlauben Sie für bestimmte Netzwerktopologien, bei denen Firewalls innerhalb eines Kundenstandorts verwendet werden, den Zugriff auf die genannten Quell- und Zielportbereiche innerhalb Ihres Netzwerks, damit die Medien durchfließen können.

Beispiel: Lassen Sie für Anwendungen den Quell- und Zielportbereich 8500–8700 zu.

Geräte19560 – 19660
Anwendungen8500 – 8700
Anrufsignalisierung an PSTN-Gateway (SIP TLS)Interne NIC des lokalen Gateways8000 – 65535TCPIhr ITSP-PSTN-GW oder Unified CMHängt von PSTN-Option ab (Beispiel: normalerweise 5060 oder 5061 für Unified CM)
Anrufmedien an PSTN-Gateway (SRTP)Interne NIC des lokalen Gateways8000 – 48198 <UNK> *UDPIhr ITSP-PSTN-GW oder Unified CMHängt von der PSTN-Option ab (z. B. normalerweise 5060 oder 5061 für Unified CM)
Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte)Webex Calling-GeräteVorübergehendTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Aus folgenden Gründen erforderlich:

  1. Migration von Unternehmenstelefonen (Cisco Unified CM) zu Webex Calling. Siehe upgrade.cisco.com um weitere Informationen zu erhalten. Die cloudupgrader.webex.com verwendet Ports: 6970.443 für den Firmware-Migrationsprozess.

  2. Firmware-Upgrades und sicheres Onboarding von Geräten (MPP und Raum- oder Tischtelefone) mit dem 16-stelligen Aktivierungscode (GDS).

  3. Für CDA/EDOS – MAC-Adresse Bereitstellung. Wird von Geräten (MPP-Telefone, ATAs und SPA-ATAs) mit neuerer Firmware verwendet.

  4. Wenn ein Telefon zum ersten Mal oder nach dem Werkseinstellung eine Verbindung mit einem Netzwerk herstellt und die DHCP -Optionen nicht konfiguriert sind, kontaktiert es einen Geräteaktivierungsserver für die Zero-Touch-Bereitstellung. Neue Telefone verwenden „activate.cisco.com“ anstelle von „webapps.cisco.com“ für die Bereitstellung. Telefone mit Firmware-Versionen vor 11.2(1) verwenden weiterhin „webapps.cisco.com“. Es wird empfohlen, alle diese IP -Subnetze zuzulassen.

AnwendungskonfigurationWebex Calling-AnwendungenVorübergehendTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Wird für die Idbroker-Authentifizierung, Anwendungskonfigurationsdienste für Clients, den browserbasierten Webzugriff zur Selbsthilfe UND für den Zugriff auf administrative Schnittstellen verwendet.
Synchronisierung der Gerätezeit (NTP)Webex Calling-Geräte51494UDPSiehe IP-Subnetze für Webex Calling-Dienste.123Diese IP-Adressen sind für die Zeitsynchronisierung für Geräte (MPP-Telefone, ATAs und SPA-ATAs) erforderlich.
Auflösung des Gerätenamens und Auflösung des AnwendungsnamensWebex Calling-GeräteVorübergehendUDP und TCPVom Host definiert53

Wird für DNS -Suchen verwendet, um die IP -Adressen von Webex Calling -Diensten in der Cloud zu ermitteln.

Auch wenn typische DNS -Suchen über UDP ausgeführt werden, erfordern einige möglicherweise TCP, wenn die Abfrageantworten nicht in UDP Pakete passen.
Synchronisierung der AnwendungszeitWebex Calling-Anwendungen123UPDVom Host definiert123
CScanWebbasiertes Netzwerkfähigkeits-Präqualifizierungstool für Webex CallingVorübergehendUPDSiehe IP-Subnetze für Webex Calling-Dienste.19569 – 19760Webbasiertes Netzwerkfähigkeits-Präqualifizierungstool für Webex Calling. Weitere Informationen finden Sie unter cscan.webex.com.
Tabelle 6: Zusätzliche Webex Calling- und Webex Aware-Dienste (Drittanbieter)
Zweck der Verbindung:QuelladressenQuellportsProtokollZieladressenZielportsHinweise
Push-Benachrichtigungen APNS- und FCM-DiensteWebex Calling-AnwendungenVorübergehendTCP

Siehe IP -Subnetze unter den Links

Apple Push-Benachrichtigung (APNS)

Google-Firebase Cloud Nachrichten (FCM)

443, 2197, 5228, 5229, 5230, 5223Benachrichtigungen an Webex -Apps auf Mobilgeräten (Beispiel: Wenn Sie eine neue Nachricht erhalten oder ein Anruf angenommen wird)

 
  • Ich * Der CUBE Medienport ist konfigurierbar mit RTP-Portbereich .
  • Wenn eine Proxyserver für Ihre Apps und Geräte konfiguriert ist, wird der Signaldatenverkehr an den Proxy gesendet. SRTP transportierte Medien über UDP werden nicht an den Proxyserver. Sie muss stattdessen direkt zu Ihrer Firewall fließen.
  • Wenn Sie NTP und DNS -Dienste in Ihrem Unternehmensnetzwerk verwenden, öffnen Sie die Ports 53 und 123 durch Ihre Firewall.