Danke für Ihr Feedback.
Netzwerkanforderungen für Webex für Behörden (FedRAMP)
Feedback?
Kurzübersicht zu Meeting-Ports und IP-Bereichen
Die folgenden IP-Bereiche werden von Sites verwendet, die auf dem FedRAMP-Meeting-Cluster bereitgestellt werden. In diesem Dokument werden diese Bereiche als „Webex-IP-Bereiche“ bezeichnet:
- 150.253.150.0/23 (150.253.150.0 bis 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 bis 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 bis 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 bis 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 bis 170.72.254.255)
- 170.133.156.0/22 (170.133.156.0 bis 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 bis 207.182.167.255)
- 207.182.168.0/23 (207.182.168.0 bis 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 bis 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 bis 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0 bis 216.151.130.255)
- 216.151.134.0/24 (216.151.134.0 bis 216.151.134.255)
- 216.151.135.0/25 (216.151.135.0 bis 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 bis 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 bis 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 bis 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 bis 216.151.139.254)
Bereitgestellte Dienste
Zu den in diesem IP-Bereich bereitgestellten Diensten gehören unter anderem die folgenden:
- Die Meeting-Website (z. B. customersite.webex.com)
- Meeting-Datenserver
- Multimedia-Server für Computer-Audio (VoIP) und Webcam-Video
- XML/API Dienstleistungen, einschließlich Produktivitätstools Planung
- Network-Based Recording (NBR)-Server
- Sekundäre Dienste, wenn sich die primären Dienste in der Wartung befinden oder technische Schwierigkeiten haben
Die folgenden URIs werden verwendet, um die "Zertifikatssperrliste" für unsere Sicherheitszertifikate zu überprüfen. Die Zertifikatssperrlisten gewährleisten, dass keine kompromittierten Zertifikate zum Abfangen eines sicheren Webex-Datenverkehrs verwendet werden können. Dieser Datenverkehr tritt auf TCP-Port 80 auf:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (IdenTrust-Zertifikate)
Die folgenden UserAgents werden von Webex durch den utiltp-Prozess in Webex übergeben und sollten durch die Firewall einer Agentur zugelassen werden:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping als Teil der zulässigen URLs. Es wird als Teil des Geräteaktivierungsprozesses verwendet und „das Gerät verwendet es, bevor es weiß, dass es ein FedRAMP-Gerät ist.“ Das Gerät sendet ihm einen Aktivierungscode ohne FedRAMP-Informationen, der Dienst erkennt, dass es sich um einen FedRAMP-Aktivierungscode handelt, und leitet ihn dann weiter.“
Der gesamte FedRAMP-Verkehr erfordert TLS 1.2-Verschlüsselung und mTLS 1.2-Verschlüsselung für vor Ort registrierte SIP-Geräte.
Von Webex Meetings-Clients verwendete Ports (einschließlich in der Cloud registrierter Geräte)
| Protokoll | Portnummer(n) | Richtung | Verkehrsart | IP-Bereich | Kommentare |
|---|---|---|---|---|---|
| TCP | 80/443 | Ausgehend zu Webex | HTTP, HTTPS | Webex und AWS (Nicht empfohlen, nach IP zu filtern) |
Webex empfiehlt das Filtern nach URL. Wenn Sie nach IP-Adresse filtern, müssen Sie die IP-Bereiche von AWS GovCloud, Cloudfront und Webex zulassen. |
| TCP/UDP | 53 | Ausgehend zu lokalem DNS | Domänenname-Dienste (DNS) | Nur DNS-Server | Wird für die DNS-Suche verwendet, um die IP-Adressen der Webex-Server in der Cloud zu ermitteln. Auch wenn DNS-Suchen in der Regel über UDP erfolgen, erfordern einige möglicherweise TCP, wenn die Abfrageantworten nicht in UDP-Pakete passen. |
| UDP | 9000, 5004 | Ausgehend zu Webex | Primäre Webex Client-Medien (VoIP und Video RTP) | Webex | Der Medienport des Webex-Clients wird zum Austauschen von Computeraudio, Webcam-Video und Inhalte teilen verwendet. Das Öffnen dieses Ports ist erforderlich, um das bestmögliche Medienerlebnis zu gewährleisten. |
| TCP | 5004, 443, 80 | Ausgehend zu Webex | Alternative Webex Client-Medien (VoIP und Video RTP) | Webex | Fall-Back-Ports für Medienkonnektivität, wenn der UDP-Port 9000 nicht in der Firewall offen ist |
| UDP/TCP |
Audio: 52000 bis 52049 Video: 52100 bis 52199 | Eingehend in Ihr Netzwerk | Webex-Client-Medien (VoIP und Video) | Von AWS und Webex zurückkehren |
Webex kommuniziert mit dem Zielport, der empfangen wird, wenn der Client seine Verbindung herstellt. Eine Firewall sollte so konfiguriert sein, dass diese Rückgabeverbindungen zugelassen werden. Dies ist standardmäßig aktiviert. |
| TCP/UDP | OS-spezifische kurzlebigen Ports | Eingehend in Ihr Netzwerk | Rückgabeverkehr von Webex | Von AWS und Webex zurückkehren |
Webex kommuniziert mit dem Zielport, der empfangen wird, wenn der Client seine Verbindung herstellt. Eine Firewall sollte so konfiguriert sein, dass diese Rückgabeverbindungen zugelassen werden. Dies wird in einer Stateful Firewall normalerweise automatisch geöffnet, ist hier jedoch der Vollständigkeit halber aufgeführt. |
Kunden, die Webex für Behörden aktivieren und keine URL-basierte Filterung für HTTPS zulassen können, müssen die Konnektivität mit AWS Gov Cloud West (Region: us-gov-west-1) und Cloud Front (Dienst: CLOUDFRONT). Bitte lesen Sie die AWS-Dokumentation, um die IP-Bereiche für AWS Gov Cloud West und AWS Cloud Front zu identifizieren. AWS-Dokumentation ist unter https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.htmlverfügbar. Webex empfiehlt dringend, wenn möglich nach URL zu filtern.
Cloudfront wird für statische Inhalte verwendet, die über das Content Delivery Network bereitgestellt werden, um Kunden die beste Leistung innerhalb des Landes zu bieten.
Von vor Ort registrierten Cisco Video Collaboration-Geräten verwendete Ports
Siehe auch den Cisco Webex Meetings Enterprise-Bereitstellungsleitfaden für videogerätefähige Meetings
| Protokoll | Portnummern | Richtung | Zugriffstyp | IP-Bereich | Kommentare |
|---|---|---|---|---|---|
| TCP | 5061—5070 | Ausgehend zu Webex | SIP-Signalisierung | Webex | Der Webex-Medien-Edge hört auf diesen Ports |
| TCP | 5061, 5065 | Eingehend zu Ihrem Netzwerk | SIP-Signalisierung | Webex | Eingehender SIP-Signalisierungsverkehr aus der Webex Cloud |
| TCP | 5061 | Ausgehend zu Webex | SIP-Signalisierung von in der Cloud registrierten Geräten | Aws | Eingehende Anrufe von der Webex-App 1:1 Anrufen und Cloud-registrierte Geräte an Ihre vor Ort registrierte SIP-URI. *5061 ist der Standardport. Webex unterstützt die Ports 5061–5070, die von Kunden gemäß ihrem SIP SRV-Eintrag verwendet werden können. |
| TCP/UDP | 1719, 1720, 15000—19999 | Ausgehend zu Webex | H.323 LS | Webex | Wenn Ihr Endpunkt Gatekeeper-Kommunikation erfordert, öffnen Sie auch Port 1719, der Lifesize enthält |
| TCP/UDP | Temporäre Ports, 36000–59999 | Eingang | Medienports | Webex | Wenn Sie einen Bereich Cisco Expressway, müssen die Medienbereiche auf 36000-59999 eingestellt sein. Wenn Sie einen Endpunkt oder eine Anrufsteuerung eines Drittanbieters verwenden, müssen diese für die Verwendung dieses Bereichs konfiguriert werden. |
| TCP | 443 | Eingang | Geräte-Proximity vor Ort | Lokales Netzwerk | Die Webex-App oder die Webex-Desktop-App muss über einen IPv4-routingfähigen Pfad zwischen sich und dem Videogerät verfügen, der HTTPS verwendet. |
Für Kunden, die Webex für Regierung aktivieren, eingehende Anrufe von Webex App 1:1 Calling- und Cloud-registrierten Geräten zu Ihrer lokal registrierten SIP-URI erhalten. Sie müssen auch Konnektivität mit AWS Gov Cloud West (Region: us-gov-west-1). Bitte überprüfen Sie die AWS-Dokumentation, um die IP-Bereiche für die AWS Gov Cloud West-Region zu identifizieren. Die AWS-Dokumentation ist verfügbar unter https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Von Edge Audio verwendete Ports
Dies ist nur erforderlich, wenn Sie Edge Audio nutzen.
| Protokoll | Portnummern | Richtung | Zugriffstyp | IP-Bereich | Kommentare |
|---|---|---|---|---|---|
| TCP | 5061—5062 | Eingehend zu Ihrem Netzwerk | SIP-Signalisierung | Webex | Eingehende SIP-Signalisierung für Edge Audio |
| TCP | 5061—5065 | Ausgehend zu Webex | SIP-Signalisierung | Webex | Ausgehende SIP-Signalisierung für Edge Audio |
| TCP/UDP | Temporäre Ports, 8000–59999 | Eingehend zu Ihrem Netzwerk | Medienports | Webex | Auf einer Unternehmensfirewall müssen Ports für eingehenden Verkehr zum Expressway mit einem Portbereich von 8000 bis 59999 geöffnet werden |
Konfigurieren Sie mTLS mit den folgenden Optionen:
- | Konfigurieren Expressway Mutual TLS-Authentifizierung.
- Unterstützte Stammzertifizierungsstellen Cisco Webex | für Audio- und Videoplattformen.
- Edge Audio | Konfigurationshandbuch.
Domänen und URLs für Webex Calling-Dienste
A * am Anfang einer URL angezeigt (zum Beispiel *.webex.com) gibt an, dass auf Dienste in der Top-Level-Domäne und allen Subdomänen zugegriffen werden kann.
| Domain/URL | Beschreibung | Webex-Apps und Geräte, die diese verwenden domains/URLs |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
Kernfunktionen von Webex Calling & Webex Aware-Dienste Identitätsbereitstellung Identitätsspeicher Authentifizierung OAuth-Dienste Geräteaufnahme Wenn ein Telefon zum ersten Mal oder nach einem Zurücksetzen auf die Werkseinstellungen eine Verbindung zu einem Netzwerk herstellt und keine DHCP-Optionen festgelegt sind, kontaktiert es einen Geräteaktivierungsserver für die Zero-Touch-Bereitstellung. Neue Telefone verwenden activate.cisco.com und Telefone mit einer Firmware-Version vor 11.2(1) verwenden weiterhin webapps.cisco.com für die Bereitstellung. Laden Sie die Geräte-Firmware und Gebietsschema-Updates von binaries.webex.comherunter. | Alle |
| *.wbx2.com und *.ciscospark.com | Wird für Cloud Awareness, CSDM, WDM, Mercury usw. verwendet. Diese Dienste sind notwendig, damit die Apps und Geräte Webex Calling erreichen können & Webex Aware-Dienste während und nach dem Onboarding. | Alle |
| *.webexapis.com |
Webex-Microservices, die Ihre Anwendungen und Geräte verwalten. Profilbild-Dienst Whiteboarding-Dienst Proximity-Service Präsenzdienst Anmeldeservice Kalenderdienst Suchdienst | Alle |
| *.webexcontent.com |
Webex Messaging-Dienst im Zusammenhang mit der allgemeinen Dateispeicherung, einschließlich: Benutzerdateien Transkodierte Dateien Bilder Screenshots Whiteboard-Inhalt Kunde & Geräteprotokolle Profilbilder Markenlogos Protokolldateien Massenexportdateien im CSV-Format & Dateien importieren (Control Hub) | Messaging-Dienste der Webex-App. Dateispeicherung über webexcontent.com wurde im Oktober 2019 durch clouddrive.com ersetzt |
| Domain/URL | Beschreibung | Webex-Apps und Geräte, die diese verwenden domains/URLs |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | Leistungsverfolgung, Fehler- und Absturzerfassung, Sitzungsmetriken. | Control Hub |
| *.huron-dev.com | Webex Calling-Mikrodienste wie Umschaltdienste, die Bestellung von Telefonnummern und Zuweisungsdienste. | Control Hub |
| *.sipflash.com | Geräteverwaltungsdienste. Firmware-Upgrades und sicheres Onboarding. | Webex-Apps |
|
*.google.com *.googleapis.com |
Benachrichtigungen an Webex-Apps auf Mobilgeräten (Beispiel: neue Nachricht, wenn Anruf angenommen wird) Informationen zu IP-Subnetzen finden Sie unter diesen Links | Webex-App |
IP-Subnetze für Webex Calling-Dienste
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
- 144.196.17.0/24
Von Webex Calling verwendete Ports
| Zweck der Verbindung: | Quelladressen | Quellports | Protokoll | Zieladressen | Zielports | Hinweise |
|---|---|---|---|---|---|---|
| Anrufsignalisierung für WebEx Calling (SIP TLs) | Externe NIC des lokalen Gateways | 8000—65535 | TCP | Siehe IP-Subnetze für Webex Calling-Dienste. | 5062, 8934 |
Diese IPs/Ports werden für ausgehende SIP-TLS-Anrufsignalisierung von lokalen Gateways, Geräten und Anwendungen (Quelle) zu Webex Calling Cloud (Ziel) benötigt. Port 5062 (erforderlich für zertifikatsbasierten Trunk). Und Port 8934 (erforderlich für registrierungsbasierte Trunks) |
| Geräte | 5060—5080 | 8934 | ||||
| Anwendungen | Vorübergehend (vom Betriebssystem abhängig) | |||||
| Anrufmedien zu WebEx Calling (SRTP) | Externer NIC des lokalen Gateways | 8000—48198†* | UDP | Siehe IP-Subnetze für Webex Calling-Dienste. |
8500–8700,19560–65535 (SRTP über UDP) |
STUN- und ICE-Lite-basierte Medienoptimierung wird für Webex for Government nicht unterstützt. Diese IPs/ports werden für ausgehende SRTP-Anrufmedien von lokalen Gateways, Geräten und Anwendungen (Quelle) zur Webex Calling Cloud (Ziel) verwendet. Erlauben Sie bei bestimmten Netzwerktopologien, bei denen Firewalls innerhalb des Kundengeländes verwendet werden, den Zugriff auf die genannten Quell- und Zielportbereiche innerhalb Ihres Netzwerks, damit die Medien hindurchfließen können. Beispiel: Erlauben Sie für Anwendungen den Quell- und Zielportbereich 8500–8700. |
| Geräte | 19560—19660 | |||||
| Anwendungen | 8500—8700 | |||||
| Anrufsignalisierung an PSTN-Gateway (SIP TLS) | Interne NIC des lokalen Gateways | 8000—65535 | TCP | Ihr ITSP-PSTN-GW oder Unified CM | Hängt von PSTN-Option ab (Beispiel: normalerweise 5060 oder 5061 für Unified CM) | |
| Anrufmedien an PSTN-Gateway (SRTP) | Interne NIC des lokalen Gateways | 8000—48198†* | UDP | Ihr ITSP-PSTN-GW oder Unified CM | Hängt von der PSTN-Option ab (z. B. normalerweise 5060 oder 5061 für Unified CM) | |
| Gerätekonfiguration und Firmware-Verwaltung (Cisco-Geräte) | WebEx Calling Geräte | Vorübergehend | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
Aus folgenden Gründen erforderlich:
|
| Anwendungskonfiguration | WebEx Calling Anwendungen | Vorübergehend | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Wird für die Idbroker-Authentifizierung, Anwendungskonfigurationsdienste für Clients, browserbasierten Webzugriff zur Selbstverwaltung UND Zugriff auf Verwaltungsschnittstellen verwendet. |
| Synchronisierung der Gerätezeit (NTP) | WebEx Calling Geräte | 51494 | UDP | Siehe IP-Subnetze für Webex Calling-Dienste. | 123 | Diese IP-Adressen sind für die Zeitsynchronisierung für Geräte (MPP-Telefone, ATAs und SPA-ATAs) erforderlich. |
| Gerätenamenauflösung und Anwendungsnamenauflösung | WebEx Calling Geräte | Vorübergehend | UDP und TCP | Vom Host definiert | 53 | Wird für DNS-Lookups verwendet, um die IP-Adressen von Webex Calling-Diensten in der Cloud zu ermitteln. Obwohl DNS-Lookups typischerweise über UDP erfolgen, kann für manche TCP erforderlich sein, wenn die Abfrageantworten nicht in UDP-Pakete passen. |
| Synchronisierung der Anwendungszeit | WebEx Calling Anwendungen | 123 | Upd | Vom Host definiert | 123 | |
| CScan | Webbasiertes Netzwerkbereitschafts-Vorqualifizierungstool für Webex Calling | Kurzlebig | Upd | Siehe IP-Subnetze für Webex Calling-Dienste. | 19569—19760 | Webbasiertes Vorqualifizierungstool für die Netzwerkbereitschaft für Webex Calling. Weitere Informationen finden Sie unter cscan.webex.com. |
| Zweck der Verbindung: | Quelladressen | Quellports | Protokoll | Zieladressen | Zielports | Hinweise |
|---|---|---|---|---|---|---|
| Push-Benachrichtigungen APNS- und FCM-Dienste | WebEx Calling Anwendungen | Vorübergehend | TCP |
Siehe die unter den Links genannten IP-Subnetze | 443, 2197, 5228, 5229, 5230, 5223 | Benachrichtigungen an Webex-Apps auf Mobilgeräten (Beispiel: Wenn Sie eine neue Nachricht erhalten oder ein Anruf entgegengenommen wird) |
- †*Der CUBE-Medienportbereich ist mit RTP-Portbereichkonfigurierbar.
- Wenn für Ihre Apps und Geräte eine Proxyserveradresse konfiguriert ist, wird der Signalverkehr an den Proxy gesendet. Über UDP per SRTP transportierte Medien werden nicht an den Proxyserver gesendet. Es muss stattdessen direkt zu Ihrer Firewall fließen.
- Wenn Sie NTP- und DNS-Dienste in Ihrem Unternehmensnetzwerk verwenden, öffnen Sie die Ports 53 und 123 durch Ihre Firewall.
