Referencia rápida de puertos e intervalos de direcciones IP de reuniones

Los sitios implementados en el grupo de reuniones de FedRAMP utilizan los siguientes rangos de IP. Para este documento, estos rangos se denominan “Rangos de IP de Webex”:

  • 150.253.150.0/23 (150.253.150.0 a 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 a 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 a 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 a 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 a 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 a 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 a 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 a 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 a 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 a 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 a 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 a 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 a 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 a 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 a 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 a 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 a 216.151.139.254)

Servicios implementados

Los servicios implementados en esta gama de IP incluyen, entre otros, los siguientes:

  • El sitio web de la reunión (p. ej., customersite.webex.com)
  • Servidores de datos de reuniones
  • Servidores multimedia para audio de computadora (VoIP) y vídeo de cámara web
  • Servicios XML/API, incluida la planificación de las Herramientas de productividad
  • Servidores de grabación basada en red (NBR)
  • Servicios secundarios cuando los servicios primarios están en mantenimiento o atraviesan dificultades técnicas

Los siguientes URI se utilizan para comprobar la "Lista de revocación de certificados" para nuestros certificados de seguridad. Las listas de revocación de certificados para garantizar que no se puedan utilizar certificados comprometidos para interceptar tráfico de Webex seguro. Este tráfico se produce en el puerto TCP 80:

  • *.quovadisglobal.com.
  • www.digicert.com
  • *.identrust.com (certificados de IdenTrust)

 

Webex pasará los siguientes UserAgents por el proceso utiltp en Webex y deben permitirse a través del firewall de una agencia:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping como parte de las URL permitidas. Se utiliza como parte del proceso de activación del dispositivo, y "el dispositivo lo utiliza antes de saber que es un dispositivo de FedRAMP. El dispositivo le envía un código de activación sin información de FedRAMP, el servicio ve que es un código de activación de FedRAMP y luego los redirige".

Todo el tráfico de FedRAMP requiere cifrado TLS 1.2 y cifrado mTLS 1.2 para dispositivos registrados SIP locales.

Puertos utilizados por los clientes de Webex Meetings (incluidos los dispositivos registrados en la nube)

ProtocoloNúmero (s) de puertoDirecciónTipo de tráficoRango de IPComentarios
TCP80/443Saliente hacia WebexHTTP, HTTPSWebex y AWS (no se recomienda filtrar por IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Se utiliza para servir contenido estático y archivos)
  • *.wbx2.com

Webex recomienda filtrar por URL. SI Filtrado por dirección IP, debe permitir los intervalos de IP de Webex, Cloudfront y GovCloud de AWS.

TCP/UDP53Saliente al DNS localServicios de nombre de dominio (DNS)Solo servidor DNSSe utiliza en las búsquedas de DNS para detectar las direcciones IP de los servidores de Webex en la nube. Aunque las búsquedas típicas de DNS se realizan a través de UDP, es posible que algunas requieran TCP, si las respuestas a la consulta no encajan en los paquetes de UDP.
UCP9000, 5004Saliente hacia WebexMedios primarios del cliente de Webex (VoIP y RTP de vídeo)WebexEl puerto de medios del cliente de Webex se utiliza para intercambiar el vídeo de la cámara web, las transmisiones de uso compartido de contenido y el audio del computador. Es necesario abrir este puerto para garantizar la mejor experiencia de medios posible.
TCP5004, 443, 80Saliente hacia WebexMedios alternativos del cliente de Webex (VoIP y RTP de vídeo)WebexPuertos de reserva para la conectividad multimedia cuando el puerto UDP 9000 no está abierto en el firewall
UDP/TCP

Audio: 52000 a 52049

Vídeo: 52100 a 52199

Entrada a su redMedios del cliente de Webex (Voip y vídeo)Volver de AWS y Webex

Webex se comunicará con el puerto de destino recibido cuando el cliente realice su conexión. Se debe configurar un firewall para permitir estas conexiones de devolución.


 
Esto está habilitado de forma predeterminada.
TCP/UDPPuertos efímeros específicos del sistema operativoEntrada a su redTráfico de retorno desde WebexVolver de AWS y Webex

Webex se comunicará con el puerto de destino recibido cuando el cliente realice su conexión. Se debe configurar un firewall para permitir estas conexiones de devolución.


 
Por lo general, esto se abre automáticamente en un firewall con seguimiento de estado; sin embargo, se muestra aquí para que esté completo.

Para los clientes que habiliten Webex for Government y no puedan permitir el filtrado basado en URL para HTTPS, deberá permitir la conectividad con AWS Gov Cloud West (región: us‐gov‐west‐1) y Cloud Front (servicio: FRENTE NUBLADO). Revise la documentación de AWS para identificar los rangos de IP para la región oeste de AWS Gov Cloud y AWS Cloud Front. La documentación de AWS está disponible en https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex recomienda encarecidamente filtrar por URL cuando sea posible.

Cloudfront se utiliza para el contenido estático entregado a través de Content Delivery Network para ofrecer a los clientes el mejor rendimiento en todo el país.

Puertos utilizados por los dispositivos de colaboración de vídeo de Cisco registrados localmente

Consulte también la Guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivos de vídeo

ProtocoloNúmeros de puertoDirecciónTipo de accesoRango de IPComentarios
TCP5061—5070Saliente hacia WebexSeñales SIPWebexEl borde de medios de Webex escucha en estos puertos
TCP5061, 5065Entrada a su redSeñales SIPWebexTráfico de señalización SIP entrante desde la nube de Webex
TCP5061Saliente hacia WebexSeñalización SIP desde dispositivos registrados en la nubeFERMENTADOLlamadas entrantes desde dispositivos registrados en la nube y llamadas de la aplicación Webex 1:1 a su URI de SIP registrado local. *5061 es el puerto predeterminado. Webex admite puertos 5061 a 5070 para ser utilizados por los clientes según se define en su registro SIP SRV
TCP/UDP1719, 1720, 15000—19999Saliente hacia WebexH.323 LSWebexSi su extremo requiere comunicación con gatekeeper, abra también el puerto 1719, que incluye Lifesize
TCP/UDPPuertos efímeros, 36000—59999De entradaPuertos de mediosWebexSi está utilizando una solución de Cisco Expressway, los rangos de medios deben establecerse en 36000-59999. Si está utilizando control de llamada o una terminal de terceros, deben configurarse para utilizar este rango.
TCP443De entradaProximidad del dispositivo localRed localLa aplicación de Webex o la aplicación de escritorio de Webex deben tener una ruta IPv4 que permita enrutar entre sí y el dispositivo de vídeo mediante HTTPS

Para los clientes que habiliten Webex for Government y reciban llamadas entrantes desde dispositivos registrados en la nube y llamadas de la aplicación Webex 1:1 a su URI de SIP registrado local. También debe permitir la conectividad con AWS Gov Cloud West (región: us‐gov‐west‐1). Revise la documentación de AWS para identificar los intervalos de IP para la región oeste de AWS Gov Cloud. La documentación de AWS está disponible en https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Puertos utilizados por el audio de Edge

Esto solo es necesario si aprovecha el audio de Edge.

ProtocoloNúmeros de puertoDirecciónTipo de accesoRango de IPComentarios
TCP5061—5062Entrada a su redSeñales SIPWebexSeñalización SIP entrante para el audio de Edge
TCP5061—5065Saliente hacia WebexSeñales SIPWebexSeñalización SIP saliente para el audio de Edge
TCP/UDPPuertos efímeros, 8000—59999Entrada a su redPuertos de mediosWebexEn un firewall empresarial, es necesario abrir puertos para el tráfico entrante al Expressway con un rango de puertos de 8000 a 59999

Configure mTLS con las siguientes opciones:

Dominios y URL para los servicios de Webex Calling

Un * al principio de una URL (por ejemplo, *.webex.com) indica que se debe poder acceder a los servicios del dominio de nivel superior y a todos los subdominios.

Cuadro 3. Servicios de Webex
Dominio/URLDescripciónAplicaciones y dispositivos de Webex que utilizan estos dominios/URL

*.webex.com

*.cisco.com

*.webexgov.us

Servicios básicos de Webex Calling y Webex Aware

aprovisionamiento de dispositivos

Almacenamiento de identidad

Autenticación

Servicios de OAuth

incorporación de dispositivos

Cuando un teléfono se conecta a una red por primera vez o después de un configuración de fábrica sin opciones de DHCP configuradas, se comunica con un servidor de activación del dispositivo para el aprovisionamiento sin contacto. Los teléfonos nuevos usan active.cisco.com y los teléfonos con una versión de firmware anterior a la 11.2 (1), continúen usando webapps.cisco.com para el aprovisionamiento.

Descargue el firmware del dispositivo y las actualizaciones locales de binaries.webex.com .

Todos
*.wbx2.com y *.ciscospark.comSe utiliza para el conocimiento de la nube, CSDM, WDM, mercurio, etc. Estos servicios son necesarios para que las aplicaciones y los dispositivos se comuniquen con los servicios de Webex Calling y Webex Aware durante y después de la incorporación.Todos
* .webexapis.com

Microservicios de Webex que administran sus aplicaciones y dispositivos.

Servicio de imagen de perfil

Servicio de pizarra

Servicio de proximidad

Servicio de presencia

Inscripción necesaria

Servicio de calendario

Buscar dispositivo

Todos
*.webexconnect.com

Servicio de Mensajería de Webex relacionado con el almacenamiento de archivos en general, que incluye:

Líneas de usuario

Archivos transcodificados

Imágenes

Captura de pantalla

Controles de pizarra

Registros de clientes y dispositivos

Imágenes del perfil

Logotipos de marca

Archivos de registro

Archivos de importación y exportación masivos de CSV (Control Hub)

Servicios de mensajería de la aplicación Webex.

 
Almacenamiento de archivos con webexcontent.com reemplazado por clouddrive.com en octubre de 2019
Tabla 4. Servicios adicionales relacionados con Webex (dominios de terceros)
Dominio/URLDescripciónAplicaciones y dispositivos de Webex que utilizan estos dominios/URL

*.appdynamics.com

*.eum-appdynamics.com

Seguimiento del rendimiento, captura de errores e interrupciones, métricas de sesión.Control Hub
*.huron-dev.comMicroservicios de Webex Calling, como servicios de alternancia, pedidos de números de teléfono y servicios de asignación.Control Hub
*.sipflash.comServicio de administración de dispositivos Actualizaciones de firmware y propósitos de incorporación segura.Aplicaciones de Webex

* .google.com

* .googleapis.com

Notificaciones a las aplicaciones de Webex en dispositivos móviles (ejemplo: mensaje nuevo, cuando se responde la llamada)

Para subredes IP , consulte estos enlaces

Servicio de Mensajería en la nube de Google Firebase (FCM)

Servicio de Notificación automática de Apple (APNS)

Aplicación de Webex

Subredes IP para los servicios de Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Puertos utilizados por Webex Calling

Tabla 5. Servicios de Webex Calling y Webex Aware
Objetivo de la conexiónDirecciones de origenPuertos de origenProtocoloDirecciones de destinoPuertos de destinoNotas
Señalización de llamadas a Webex Calling (SIP TLS)Puerta de enlace local externa (NIC)8000—65535TCPConsulte Subredes IP para los servicios de Webex Calling.5062, 8934

Estos IP/puertos son necesarios para las señales de llamadas SIP-TLS salientes desde puertas de enlace, dispositivos y aplicaciones locales (origen) a Webex Calling nube (destino).

Puerto 5062 (necesario para troncales basadas en certificados). Y el puerto 8934 (necesario para troncales basadas en registro)

Dispositivos5060—50808934
AplicacionesEfímero (dependiente del SO)
Medios de llamada a Webex Calling (STUN, SRTPNIC externo de la puerta de enlace local8000—48198*UDPConsulte Subredes IP para los servicios de Webex Calling.

5004, 9000 (puertos STUN)

8500—8700,19560—65535 (SRTP sobre UDP)

Estas IP/puertos son necesarios para los medios de llamadas SRTP salientes desde puertas de enlace locales, dispositivos y aplicaciones (origen) a la nube de Webex Calling (destino).

Para Llamadas dentro de la organización en las que la negociación de STUN y ICE es exitosa, el retransmisión de medios en la nube se elimina como ruta de comunicación. En tales casos, el flujo de medios se encuentra directamente entre las Aplicaciones/dispositivos del usuario.

Por ejemplo: Si la optimización de medios es exitosa, las aplicaciones envían medios directamente entre sí en rangos de puertos entre 8500 y 9700 y los dispositivos se envían medios directamente entre sí en rangos de puertos entre 19560 y 19660.

Para determinadas topologías de red en las que se utilizan firewalls dentro de las instalaciones de un cliente, permita el acceso a los rangos de puertos de origen y destino mencionados dentro de su red para que los medios fluyan.

Ejemplo: Para las aplicaciones, permita el rango de puertos de origen y destino 8500 a 8700.

Dispositivos19560-19660
Aplicaciones8500—8700
Señalización de llamadas a la puerta de enlace de PSTN (SIP TLS)NIC interno de la puerta de enlace local8000—65535TCPSu ITSP PSTN GW o Unified CMDepende de la opción de PSTN (por ejemplo, generalmente 5060 o 5061 para Unified CM)
Medio de llamadas a la puerta de enlace de PSTN (SRTP)NIC interno de la puerta de enlace local8000—48198*UDPSu ITSP PSTN GW o Unified CMDepende de la opción PSTN (por ejemplo, normalmente 5060 o 5061 para Unified CM)
Configuración de dispositivos y administración de firmware (dispositivos de Cisco)Dispositivos de Webex CallingEfímeroTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443,6970

Requerido por las siguientes razones:

  1. Migración de teléfonos empresariales (Cisco Unified CM) a Webex Calling. Ver upgrade.cisco.com para más información. Cloudupgrader.webex.com utiliza puertos: 6970,443 para el proceso de migración de firmware.

  2. Estas IP son necesarias para la incorporación segura de dispositivos (teléfonos MPP y de sala o de escritorio) utilizando el código de activación de 16 dígitos (GDS).

  3. Para CDA / EDOS: aprovisionamiento basado en dirección MAC. Usado por los dispositivos (teléfonos MPP, ATA y ATA DE SPA) con firmware más reciente.

  4. Cuando un teléfono se conecta a una red por primera vez o después de un configuración de fábrica, sin las opciones de DHCP configuradas, se comunica con un servidor de activación del dispositivo para el aprovisionamiento sin contacto. Los nuevos teléfonos utilizan "activate.cisco.com" en lugar de "webapps.cisco.com" para el aprovisionamiento. Los teléfonos con versiones de firmware anteriores a la 11.2(1) siguen utilizando "webapps.cisco.com". Se recomienda permitir todas estas subredes IP .

Configuración de la aplicaciónAplicaciones de Webex CallingEfímeroTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Se utiliza para la autenticación de Idbroker, los servicios de configuración de la aplicación para los clientes, el acceso web basado en el navegador para el autocuidado y el acceso a las interfaces administrativas.
Sincronización de la hora del dispositivo (NTP)Dispositivos de Webex Calling51494UDPConsulte Subredes IP para los servicios de Webex Calling.123Estas direcciones IP son necesarias para la sincronización de la hora para dispositivos (teléfonos MPP, ATA y ATA de SPA)
Resolución del nombre del dispositivo y resolución del nombre de la aplicaciónDispositivos de Webex CallingEfímeroUDP y TCPDefinido por el host53

Se utiliza en las búsquedas de DNS para detectar las direcciones IP de los servidores de Webex en la nube.

Aunque las búsquedas típicas de DNS se realizan a través de UDP, es posible que algunas requieran TCP, si las respuestas a la consulta no encajan en los paquetes de UDP.
Sincronización de la hora de la aplicaciónAplicaciones de Webex Calling123UPDDefinido por el host123
CScanHerramienta de precalificación de la preparación de la red basada en la Web para Webex CallingEfímeroUPDConsulte Subredes IP para los servicios de Webex Calling.19569-19760Herramienta de precalificación de preparación de red basada en la Web para Webex Calling. Vaya a cscan.webex.com para obtener más información.
Tabla 6. Servicios adicionales de Webex Calling y Webex Aware (de terceros)
Objetivo de la conexiónDirecciones de origenPuertos de origenProtocoloDirecciones de destinoPuertos de destinoNotas
Servicios de notificaciones push APNS y FCMAplicaciones de Webex CallingEfímeroTCP

Consulte las subredes IP mencionadas en los enlaces

Servicio de Notificación automática de Apple (APNS)

Mensajería en la nube de Google-Firebase (FCM)

443, 2197, 5228, 5229, 5230, 5223Notificaciones a las aplicaciones de Webex en dispositivos móviles (ejemplo: Cuando reciba un mensaje nuevo o cuando se responda una llamada)

 
  • † El rango de puertos de medios de CUBE se puede configurar con el rango de rtp-port.
  • Si se configura una dirección de servidor proxy para sus aplicaciones y dispositivos, el tráfico de señalización se envía al proxy. Los medios transportados por SRTP a través de UDP no se envían al servidor proxy. En su lugar, debe fluir directamente a su firewall.
  • Si está utilizando servicios NTP y DNS dentro de la red de su empresa, abra los puertos 53 y 123 a través de su firewall.