Referencia rápida de puertos y rangos de IP para reuniones

Los siguientes rangos de IP son utilizados por los sitios implementados en el clúster de reuniones de FedRAMP. Para este documento, estos rangos se denominan "Rangos de IP de Webex":

  • 150.253.150.0/23 (150.253.150.0 a 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 a 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 a 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 a 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 a 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 a 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 a 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 a 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 a 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 a 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 a 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 a 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 a 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 a 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 a 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 a 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 a 216.151.139.254)

Servicios implementados

Los servicios implementados en este rango de IP incluyen, entre otros, los siguientes:

  • El sitio web de la reunión (por ejemplo, customersite.webex.com)
  • Servidores de datos de reuniones
  • Servidores multimedia para audio de computadora (VoIP) y vídeo de cámara web
  • XML/API servicios, incluida la programación de herramientas de productividad
  • Servidores de grabación basada en red (NBR)
  • Servicios secundarios cuando los servicios primarios están en mantenimiento o tienen dificultades técnicas

Las siguientes URI se utilizan para verificar la "Lista de revocación de certificados" para nuestros certificados de seguridad. Las Listas de revocación de certificados para garantizar que no se puedan utilizar certificados en riesgo para interceptar el tráfico seguro de Webex. Este tráfico ocurre en el puerto TCP 80:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (certificados IdenTrust)

Los siguientes UserAgents serán pasados por Webex por el proceso utiltp en Webex y deben ser permitidos a través del firewall de una agencia:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping como parte de las URL permitidas. Se utiliza como parte del proceso de activación del dispositivo y "el dispositivo lo utiliza antes de saber que es un dispositivo FedRAMP. El dispositivo le envía un código de activación sin información de FedRAMP, el servicio ve que es un código de activación de FedRAMP y luego los redirecciona.

Todo el tráfico de FedRAMP requiere cifrado TLS 1.2 y cifrado mTLS 1.2 para dispositivos registrados SIP locales.

Puertos utilizados por los clientes de Webex Meetings (incluidos los dispositivos registrados en la nube)

ProtocoloNúmero(s) de puertoDirecciónTipo de tráficoRango de IPComentarios
TCP80/443Salientes a WebexHTTP, HTTPSWebex y AWS (no se recomienda filtrar por IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Esto se utiliza para servir contenido y archivos estáticos)
  • *.wbx2.com

Webex recomienda filtrar por URL. SI filtra por dirección IP, debe permitir los rangos de IP de AWS GovCloud, Cloudfront y Webex.

TCP/UDP53Salientes al DNS localServicios de nombre de dominio (DNS)Solo servidor DNSSe utiliza en las búsquedas de DNS para detectar las direcciones IP de los servidores de Webex en la nube. Aunque las búsquedas típicas de DNS se realizan a través de UDP, es posible que algunas requieran TCP, si las respuestas a la consulta no encajan en los paquetes de UDP.
UDP9000, 5004Saliente hacia WebexMedios primarios del cliente de Webex (VoIP y RTP de vídeo)WebexEl puerto multimedia del cliente de Webex se utiliza para intercambiar audio de la computadora, vídeo de cámara web uso compartido de contenido transmisiones. Es necesario abrir este puerto para garantizar la mejor experiencia multimedia posible.
TCP5004, 443, 80Saliente hacia WebexMedios alternativos del cliente de Webex (VoIP y RTP de vídeo)WebexPuertos de respaldo para conectividad de medios cuando el puerto UDP 9000 no está abierto en el firewall
UDP/TCP

Audio: 52000 a 52049

Vídeo: 52100 a 52199

Entrada a su redMedios del cliente Webex (VoIP y vídeo)Volver de AWS y Webex

Webex se comunicará con el puerto de destino recibido cuando el cliente realice su conexión. Se debe configurar un firewall para permitir estas conexiones de devolución.

Esta opción está habilitada de manera predeterminada.
TCP/UDPPuertos efímeros específicos del sistema operativoEntrada a su redDevolver el tráfico de WebexVolver de AWS y Webex

Webex se comunicará con el puerto de destino recibido cuando el cliente realice su conexión. Se debe configurar un firewall para permitir estas conexiones de devolución.

Normalmente, esto se abre automáticamente en un firewall con estado, sin embargo, se incluye aquí para completar.

Para los clientes que habilitan Webex para el gobierno y no pueden permitir el filtrado basado en URL para HTTPS, deberán permitir la conectividad con AWS Gov Cloud West (región: us'gov'west-1) y El Frente en la nube (servicio: FRONT EN LA NUBE). Consulte la documentación de AWS para identificar los rangos de IP para la región del oeste de la nube de AWS y el frente de la nube de AWS. La documentación de AWS está disponible en https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex recomienda encarecidamente filtrar por URL cuando sea posible.

Cloudfront se utiliza para contenido estático ofrecido a través de la Red de entrega de contenidos para ofrecer a los clientes el mejor rendimiento en todo el país.

Puertos utilizados por dispositivos de colaboración de video de Cisco registrados en las instalaciones

Consulte también la Guía de implementación empresarial de Cisco Webex Meetings para reuniones con dispositivos de vídeo habilitados

ProtocoloNúmeros de puertoDirecciónTipo de accesoRango de IPComentarios
TCP5061—5070Salientes a WebexSeñales SIPWebexEl límite de medios de Webex escucha en estos puertos
TCP5061, 5065De entrada a su redSeñales SIPWebexTráfico de señales SIP entrantes desde la nube de Webex
TCP5061Saliente hacia WebexSeñales SIP desde dispositivos registrados en la nubeAwsLlamadas entrantes desde la aplicación Webex 1:1 Llamadas y dispositivos registrados en la nube a su URI SIP registrado localmente. *5061 Es el puerto predeterminado. Webex admite los puertos 5061 a 5070 para que los clientes los utilicen según lo definido en su registro SIP SRV
TCP/UDP1719, 1720, 15000—19999Saliente hacia WebexH.323 LSWebexSi su punto final requiere comunicación con el guardián, abra también el puerto 1719, que incluye Lifesize
TCP/UDPPuertos efímeros, 36000—59999De entradaPuertos de mediosWebexSi está utilizando un Cisco Expressway, los rangos de medios se deben definir en 36000-59999. Si está utilizando un punto final de terceros o un control de llamadas, es necesario configurarlos para utilizar este rango.
TCP443De entradaProximidad de dispositivo localRed localLa aplicación Webex o la aplicación de escritorio Webex deben tener una ruta enrutable IPv4 entre ella y el dispositivo de video mediante HTTPS

En el caso de clientes que habilitan Webex para que el Gobierno reciba llamadas entrantes desde las llamadas uno a uno de la aplicación Webex y dispositivos registrados en la nube en su SIP URI registrado en el lugar. También debe permitir la conectividad con la nube de distribución AWS West (región: us'gov'west-1). Revise la documentación de AWS para identificar los rangos de IP para la región AWS Gov Cloud West. La documentación de AWS está disponible en https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Puertos utilizados por Edge Audio

Esto solo es necesario si aprovecha Edge Audio.

ProtocoloNúmeros de puertoDirecciónTipo de accesoRango de IPComentarios
TCP5061—5062De entrada a su redSeñales SIPWebexSeñalización SIP entrante para Edge Audio
TCP5061—5065Salientes a WebexSeñales SIPWebexSeñalización SIP saliente para Edge Audio
TCP/UDPPuertos efímeros, 8000—59999De entrada a su redPuertos de mediosWebexEn un firewall empresarial, los puertos deben abrirse para el tráfico entrante a Expressway con un rango de puertos de 8000 a 59999.

Configure mTLS utilizando las siguientes opciones:

Dominios y URL para servicios de llamadas de Webex

A * se muestra al principio de una URL (por ejemplo, *.webex.com) Indica que los servicios en el dominio de nivel superior y todos los subdominios son accesibles.

Tabla 2. Servicios de Webex
Domain/URLDescripciónAplicaciones y dispositivos Webex que utilizan estos domains/URLs

*.webex.com

*.cisco.com

*.webexgov.us

Llamadas principales de Webex & Servicios Webex Aware

Aprovisionamiento de identidad

Almacenamiento de identidad

Autenticación

Servicios OAuth

Incorporación de dispositivos

Cuando un teléfono se conecta a una red por primera vez o después de un restablecimiento de fábrica sin opciones de DHCP configuradas, se comunica con un servidor de activación del dispositivo para el aprovisionamiento sin intervención. Los teléfonos nuevos usan activate.cisco.com y los teléfonos con versión de firmware anterior a 11.2(1) continúan usando webapps.cisco.com para el aprovisionamiento.

Descargue el firmware del dispositivo y las actualizaciones regionales desde binaries.webex.com.

Todos
*.wbx2.com y *.ciscospark.comSe utiliza para conocimiento de la nube, CSDM, WDM, Mercury, etc. Estos servicios son necesarios para que las aplicaciones y los dispositivos se comuniquen con Webex Calling & Servicios de Webex Aware durante y después de la incorporación.Todos
*.webexapis.com

Microservicios de Webex que administran sus aplicaciones y dispositivos.

Servicio de foto de perfil

Servicio de pizarra blanca

Servicio de proximidad

Servicio de presencia

Servicio de registro

Servicio de calendario

Servicio de búsqueda

Todos
*.webexcontent.com

Servicio de mensajería Webex relacionado con el almacenamiento general de archivos que incluye:

Archivos de usuario

Archivos transcodificados

Imágenes

Capturas de pantalla

Contenido de la pizarra

Cliente & registros del dispositivo

Imágenes de perfil

Logotipos de marca

Archivos de registro

Archivos CSV de exportación masiva & importar archivos (Control Hub)

Servicios de mensajería de la aplicación Webex.
El almacenamiento de archivos mediante webexcontent.com fue reemplazado por clouddrive.com en octubre de 2019.
Tabla 4. Servicios adicionales relacionados con Webex (dominios de terceros)
Domain/URLDescripciónAplicaciones y dispositivos Webex que utilizan estos domains/URLs

*.appdynamics.com

*.eum-appdynamics.com

Seguimiento del rendimiento, captura de errores e interrupciones, métricas de sesión.Control Hub
*.huron-dev.comMicroservicios de Webex Calling, como servicios de alternancia, pedidos de números de teléfono y servicios de asignación.Control Hub
*.sipflash.comServicios de gestión de dispositivos. Actualizaciones de firmware y propósitos de incorporación segura.Aplicaciones de Webex

*.google.com

*.googleapis.com

Notificaciones a aplicaciones de Webex en dispositivos móviles (Ejemplo: nuevo mensaje, cuando se responde la llamada)

Para subredes IP, consulte estos enlaces

Servicio de mensajería en la nube Google Firebase (FCM)

Servicio de notificación de push de Apple (APNS)

Aplicación de Webex

Subredes IP para servicios de llamadas de Webex

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24
  • 144.196.17.0/24

Puertos utilizados por Webex Calling

Tabla 5. Servicios Webex Calling y Webex Aware
Objetivo de la conexiónDirecciones de origenPuertos de origenProtocoloDirecciones de destinoPuertos de destinoNotas
Señalización de llamadas a Webex Calling (SIP TLS)Puerta de enlace local externa (NIC)8000—65535TCPConsulte Subredes IP para los servicios de Webex Calling.5062, 8934

Estos IP/puertos son necesarios para las señales de llamadas SIP-TLS salientes desde puertas de enlace, dispositivos y aplicaciones locales (origen) a Webex Calling nube (destino).

Puerto 5062 (necesario para troncal basado en certificado). Y el puerto 8934 (necesario para el enlace troncal basado en registro)

Dispositivos5060—50808934
AplicacionesEfímero (dependiente del SO)
Llamar a medios a Webex Calling (SRTP)NIC externo de la puerta de enlace local8000—48198*UDPConsulte Subredes IP para los servicios de Webex Calling.

8500—8700,19560—65535 (SRTP sobre UDP)

La optimización de medios basada en STUN e ICE-Lite no es compatible con Webex para el gobierno.

Estos IPs/ports Se utilizan para medios de llamadas SRTP salientes desde puertas de enlace locales, dispositivos y aplicaciones (origen) a Webex Calling Cloud (destino).

Para ciertas topologías de red en las que se utilizan firewalls dentro de las instalaciones de un cliente, permita el acceso a los rangos de puertos de origen y destino mencionados dentro de su red para que los medios fluyan a través de ellos.

Ejemplo: Para las aplicaciones, permita el rango de puertos de origen y destino entre 8500 y 8700.

Dispositivos19560—19660
Aplicaciones8500—8700
Señalización de llamadas a la puerta de enlace de PSTN (SIP TLS)NIC interno de la puerta de enlace local8000—65535TCPSu ITSP PSTN GW o Unified CMDepende de la opción de PSTN (por ejemplo, generalmente 5060 o 5061 para Unified CM)
Medio de llamadas a la puerta de enlace de PSTN (SRTP)NIC interno de la puerta de enlace local8000—48198*UDPSu ITSP PSTN GW o Unified CMDepende de la opción PSTN (por ejemplo, normalmente 5060 o 5061 para Unified CM)
Configuración de dispositivos y administración de firmware (dispositivos de Cisco)Dispositivos Webex CallingEfímeroTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Requerido por las siguientes razones:

  1. Migración de teléfonos empresariales (Cisco Unified CM) a Webex Calling. Consulte upgrade.cisco.com para obtener más información. El cloudupgrader.webex.com utiliza los puertos: 6970,443 para el proceso de migración de firmware.

  2. Actualizaciones de firmware e incorporación segura de dispositivos (MPP y teléfonos de sala o de escritorio) mediante el código de activación de 16 dígitos (GDS).

  3. Para CDA / EDOS - Aprovisionamiento basado en direcciones MAC. Usado por los dispositivos (teléfonos MPP, ATA y ATA DE SPA) con firmware más reciente.

  4. Cuando un teléfono se conecta a una red por primera vez o después de un restablecimiento de fábrica, sin las opciones de DHCP configuradas, se comunica con un servidor de activación del dispositivo para el aprovisionamiento sin intervención. Los nuevos teléfonos utilizan "activate.cisco.com" en lugar de "webapps.cisco.com" para el aprovisionamiento. Los teléfonos con firmware lanzado antes de 11.2(1) continúan usando "webapps.cisco.com". Se recomienda permitir todas estas subredes IP.

Configuración de la aplicaciónWebex Calling aplicacionesEfímeroTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Se utiliza para autenticación de Idbroker, servicios de configuración de aplicaciones para clientes, acceso web basado en navegador para autocuidado y acceso a interfaces administrativas.
Sincronización de la hora del dispositivo (NTP)Dispositivos Webex Calling51494UDPConsulte Subredes IP para los servicios de Webex Calling.123Estas direcciones IP son necesarias para la sincronización de la hora para dispositivos (teléfonos MPP, ATA y ATA de SPA)
Resolución de nombres de dispositivos y resolución de nombres de aplicacionesDispositivos Webex CallingEfímeroUDP y TCPDefinido por el host53

Se utiliza para búsquedas de DNS para descubrir las direcciones IP de los servicios de Webex Calling en la nube.

Aunque las búsquedas DNS típicas se realizan a través de UDP, algunas pueden requerir TCP, si las respuestas de la consulta no caben en los paquetes UDP.
Sincronización de la hora de la aplicaciónWebex Calling aplicaciones123UpdDefinido por el host123
CScanHerramienta de precalificación de preparación de red basada en la web para Webex CallingEfímeroUpdConsulte Subredes IP para los servicios de Webex Calling.19569—19760Herramienta de precalificación de preparación de red basada en Web para Webex Calling. Vaya a cscan.webex.com para obtener más información.
Tabla 6. Servicios adicionales de Webex Calling y Webex Aware (de terceros)
Objetivo de la conexiónDirecciones de origenPuertos de origenProtocoloDirecciones de destinoPuertos de destinoNotas
Notificaciones push de servicios APNS y FCMWebex Calling aplicacionesEfímeroTCP

Consulte las subredes IP mencionadas en los enlaces.

Servicio de notificaciones push de Apple (APNS)

Mensajería en la nube de Google-Firebase (FCM)

443, 2197, 5228, 5229, 5230, 5223Notificaciones a aplicaciones de Webex en dispositivos móviles (Ejemplo: Cuando recibes un mensaje nuevo o cuando se responde una llamada)
  • *El rango de puertos multimedia CUBE se puede configurar con rango de puerto rtp.
  • Si se configura una dirección de servidor proxy para sus aplicaciones y dispositivos, el tráfico de señalización se envía al proxy. Los medios transportados SRTP sobre UDP no se envían al servidor proxy. Debería fluir directamente a su firewall.
  • Si está utilizando servicios NTP y DNS dentro de su red empresarial, abra los puertos 53 y 123 a través de su firewall.