Kokousportit ja IP-alueet pikaopas

FedRAMP-kokousklusteriin otetut sivustot käyttävät seuraavia IP-alueita. Tässä asiakirjassa näitä alueita kutsutaan "Webexin IP-alueiksi":

  • 150.253.150.0/23 (150.253.150.0 - 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 - 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 - 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 - 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 - 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 - 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 - 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 - 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 - 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 - 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 - 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 - 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 - 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 - 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 - 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 - 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 - 216.151.139.254)

Palvelut käyttöön

Tällä IP-alueella käyttöön otettuja palveluita ovat muun muassa seuraavat:

  • Kokouksen verkkosivusto (esim. customersite.webex.com)
  • Kokousdatapalvelimet
  • Multimediapalvelimet tietokoneäänelle (VoIP) ja verkkokameravideolle
  • XML/API-palvelut, mukaan lukien tuottavuustyökalujen ajoitus
  • Network-Based Recording (NBR) -palvelimet
  • Toissijaiset palvelut, kun ensisijaiset palvelut ovat kunnossa tai niissä on teknisiä ongelmia

Seuraavien URI:iden avulla tarkistetaan suojausvarmenteidemme peruutusluettelo. Varmenteiden peruutusluettelot varmistaakseen, ettei vaarantuneita varmenteita voida käyttää suojatun Webex-liikenteen sieppaamiseen. Tämä liikenne tapahtuu TCP-portissa 80:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (IdenTrust-sertifikaatit)

 

Webex välittää seuraavat UserAgentit Webexin utiltp-prosessilla, ja ne tulisi sallia viraston palomuurin kautta:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=valmiustila

https://activation.webex.com/api/v1/ping osana sallittuja URL-osoitteita. Sitä käytetään osana laitteen aktivointiprosessia, ja "laite käyttää sitä ennen kuin se tietää, että se on FedRAMP-laite. Laite lähettää sille aktivointikoodin ilman FedRAMP-tietoja, palvelu näkee, että se on FedRAMP-aktivointikoodi, ja sitten se ohjaa ne uudelleen."

Kaikki FedRAMP-liikenne vaatii TLS 1.2 -salauksen ja mTLS 1.2 -salauksen on-prem SIP -rekisteröityjen laitteiden osalta.

Webex Meetings -asiakkaiden käyttämät portit (mukaan lukien pilveen rekisteröidyt laitteet)

pöytäkirjaPortin numero(t)SuuntaLiikennetyyppiIP-alueKommentit
TCP80/443Lähtevä WebexiinHTTP, HTTPSWebex ja AWS (ei suositella suodatusta IP-osoitteen mukaan)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Tätä käytetään staattisen sisällön ja tiedostojen näyttämiseen)
  • *.wbx2.com

Webex suosittelee suodatusta URL-osoitteen mukaan. JOS suodatat IP-osoitteen perusteella, sinun on sallittava AWS GovCloud-, Cloudfront- ja Webex-IP-alueet.

TCP/UDP53Lähtevä paikalliselle DNS:lleDomain Name Services (DNS)Vain DNS-palvelinKäytetään DNS-hakuihin Webex-palvelimien IP-osoitteiden löytämiseksi pilvestä. Vaikka tyypilliset DNS-haut tehdään UDP:n kautta, jotkut saattavat vaatia TCP:tä, jos kyselyvastaukset eivät mahdu sitä UDP-paketteihin.
UCP9000, 5004Lähtevä WebexiinEnsisijainen Webex-asiakasmedia (VoIP & Video RTP)WebexWebex-asiakasmediaporttia käytetään tietokoneen äänen, verkkokameran videon ja sisällön jakamisen virtojen vaihtamiseen. Tämä portti on avattava parhaan mahdollisen mediakokemuksen varmistamiseksi.
TCP5004, 443, 80Lähtevä WebexiinVaihtoehtoinen Webex-asiakasmedia (VoIP & Video RTP)WebexVaraportit mediayhteyksiä varten, kun UDP-portti 9000 ei ole auki palomuurissa
UDP/TCP

Audio: 52000 - 52049

Video: 52100 - 52199

Saapuva verkkoosiWebex-asiakasmedia (Voip ja video)Paluu AWS:stä ja Webexistä

Webex kommunikoi vastaanottamaan kohdeporttiin, kun asiakas muodostaa yhteyden. Palomuuri tulee määrittää sallimaan nämä paluuyhteydet.


 
Tämä on oletuksena käytössä.
TCP/UDPKäyttöjärjestelmäkohtaiset lyhytaikaiset portitSaapuva verkkoosiPaluuliikenne WebexistäPaluu AWS:stä ja Webexistä

Webex kommunikoi vastaanottamaan kohdeporttiin, kun asiakas muodostaa yhteyden. Palomuuri tulee määrittää sallimaan nämä paluuyhteydet.


 
Tämä avataan yleensä automaattisesti tilallisessa palomuurissa, mutta se on lueteltu tässä täydellisyyden vuoksi.

Webex for Governmentin käyttöön ottaville asiakkaille, jotka eivät voi sallia URL-pohjaista suodatusta HTTPS:lle, sinun on sallittava yhteys AWS Gov Cloud Westiin (alue: us‐gov‐west‐1) ja Cloud Front (palvelu: PILVEEN). Tutustu AWS-dokumentaatioon tunnistaaksesi AWS Gov Cloud West -alueen ja AWS Cloud Frontin IP-alueet. AWS-dokumentaatio on saatavilla osoitteessa https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex suosittelee voimakkaasti suodattamista URL-osoitteen mukaan, jos mahdollista.

Cloudfrontia käytetään staattiseen sisältöön, joka toimitetaan Content Delivery Networkin kautta, jotta asiakkaat saavat parhaan suorituskyvyn kaikkialla maassa.

Tilarekisteröityjen Ciscon videoyhteistyölaitteiden käyttämät portit

Katso myös Cisco Webex Meetings Enterprise -käyttöönottoopas videolaitteita käyttäville kokouksille

pöytäkirjaPorttien numerotSuuntaKäyttöoikeustyyppiIP-alueKommentit
TCP5061-5070Lähtevä WebexiinSIP-signalointiWebexWebex media edge kuuntelee näitä portteja
TCP5061, 5065Saapuva verkkoosiSIP-signalointiWebexSaapuva SIP-signalointiliikenne Webex-pilvestä
TCP5061Lähtevä WebexiinSIP-signalointi pilveen rekisteröidyistä laitteistaAWSSaapuvat puhelut Webex App 1:1 Calling- ja Cloud-rekisteröityistä laitteista paikan päällä rekisteröidylle SIP URI:lle. *5061 on oletusportti. Webex tukee 5061-5070 porttia asiakkaiden käyttöön SIP SRV -tietueessa määritellyllä tavalla
TCP/UDP1719, 1720, 15000-19999Lähtevä WebexiinH.323 LSWebexJos päätepisteesi vaatii portinvartijan viestintää, avaa myös portti 1719, joka sisältää Lifesizen
TCP/UDPEphemeral Ports, 36000-59999SaapuvaMediaportitWebexJos käytät Cisco Expresswayta, mediaalueiksi on asetettava 36000-59999. Jos käytät kolmannen osapuolen päätepistettä tai puhelunhallintaa, ne on määritettävä käyttämään tätä aluetta.
TCP443SaapuvaPaikallinen laitteen läheisyysPaikallinen verkkoWebex-sovelluksella tai Webex-työpöytäsovelluksella on oltava IPv4-reitityskelpoinen polku sen ja videolaitteen välillä HTTPS:n avulla

Asiakkaille, jotka mahdollistavat Webex for Governmentin ja jotka vastaanottavat saapuvia puheluita Webex App 1:1 Calling- ja Cloud -rekisteröityistä laitteista paikan päällä rekisteröidylle SIP URI:lle. Sinun on myös sallittava yhteys AWS Gov Cloud Westiin (alue: us-gov-west-1). Tutustu AWS-dokumentaatioon selvittääksesi AWS Gov Cloud West -alueen IP-alueet. AWS-dokumentaatio on saatavilla osoitteessa https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Edge Audion käyttämät portit

Tämä vaaditaan vain, jos hyödynnät Edge Audiota.

pöytäkirjaPorttien numerotSuuntaKäyttöoikeustyyppiIP-alueKommentit
TCP5061-5062Saapuva verkkoosiSIP-signalointiWebexEdge Audion saapuva SIP-signalointi
TCP5061-5065Lähtevä WebexiinSIP-signalointiWebexLähtevä SIP-signalointi Edge Audiolle
TCP/UDPEphemeral Ports, 8000-59999Saapuva verkkoosiMediaportitWebexYrityksen palomuurissa portit on avattava pikatielle tulevalle liikenteelle porttialueella 8000-59999

Määritä mTLS seuraavilla vaihtoehdoilla:

Webex-puhelupalvelujen verkkotunnukset ja URL-osoitteet

URL-osoitteen alussa näkyvä * (esimerkiksi *.webex.com) osoittaa, että ylätason verkkotunnuksen palvelut ja kaikki aliverkkotunnukset ovat käytettävissä.

Taulukko 3. Webex-palvelut
Verkkotunnus/URL-osoiteKuvausWebex-sovellukset ja -laitteet, jotka käyttävät näitä verkkotunnuksia/URL-osoitteita

*.webex.com

*.cisco.com

*.webexgov.us

Webex-puhelut ja Webex Aware -palvelut

Henkilöllisyyden hallinta

Henkilöllisyyden tallennus

Todennus

OAuth-palvelut

Laitteen käyttöönotto

Kun puhelin muodostaa yhteyden verkkoon ensimmäistä kertaa tai tehdasasetusten palauttamisen jälkeen ilman DHCP-asetuksia, se ottaa yhteyttä laitteen aktivointipalvelimeen ilman kosketusta. Uudet puhelimet käyttävät Activate.cisco.com-osoitetta ja puhelimet, joiden laiteohjelmisto on julkaistu ennen 11.2(1), jatkavat webapps.cisco.com-sivuston käyttöä hallintaan.

Lataa laitteen laiteohjelmisto- ja aluepäivitykset osoitteesta binarys.webex.com.

Kaikki
*.wbx2.com ja *.ciscospark.comKäytetään pilvitietoisuuteen, CSDM:ään, WDM:ään, elohopeaan ja niin edelleen. Nämä palvelut ovat välttämättömiä, jotta sovellukset ja laitteet voivat ottaa yhteyttä Webex Calling & Webex Aware -palveluihin käyttöönoton aikana ja sen jälkeen.Kaikki
*.webexapis.com

Webex-mikropalvelut, jotka hallitsevat sovelluksiasi ja laitteitasi.

Profiilikuvapalvelu

Valkotaulupalvelu

Läheisyyspalvelu

Läsnäolopalvelu

Rekisteröintipalvelu

Kalenteripalvelu

Hakupalvelu

Kaikki
*.webexcontent.com

Webex Messaging -palvelu, joka liittyy yleiseen tiedostojen säilytykseen, mukaan lukien:

Käyttäjätiedostot

Transkoodatut tiedostot

Kuvat

Kuvakaappauksia

Valkotaulun sisältö

Asiakas- ja laitelokit

Profiilikuvat

Brändin logot

Lokitiedostot

CSV-tiedostojen joukkovienti ja tuontitiedostot (Control Hub)

Webex App -viestipalvelut.

 
Tiedostojen tallennus webexcontent.com-sivustolla korvattiin clouddrive.comilla lokakuussa 2019
Taulukko 4. Webexiin liittyvät lisäpalvelut (kolmannen osapuolen verkkotunnukset)
Verkkotunnus/URL-osoiteKuvausWebex-sovellukset ja -laitteet, jotka käyttävät näitä verkkotunnuksia/URL-osoitteita

*.appdynamics.com

*.eum-appdynamics.com

Suorituskyvyn seuranta, virheiden ja kaatumisten kaappaus, istuntotiedot.Control Hub
*.huron-dev.comWebex Calling -mikropalvelut, kuten vaihtopalvelut, puhelinnumeroiden tilaaminen ja toimeksiantopalvelut.Control Hub
*.sipflash.comLaitehallintapalvelut. Laiteohjelmistopäivitykset ja turvalliset käyttöönottotarkoitukset.Webex-sovellukset

*.google.com

*.googleapis.com

Ilmoitukset Webex-sovelluksille mobiililaitteissa (esimerkki: uusi viesti, kun puheluun vastataan)

Katso IP-aliverkot näistä linkeistä

Google Firebase Cloud Messaging (FCM) -palvelu

Apple Push Notification Service (APNS)

Webex-sovellus

IP-aliverkot Webex-puhelupalveluille

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Webex Callingin käyttämät portit

Taulukko 5. Webex Calling ja Webex Aware palvelut
Yhteyden tarkoitusLähdeosoitteetLähdeportitpöytäkirjaKohdeosoitteetKohdesatamatHuomautuksia
Soittomerkinanto Webex-puheluun (SIP TLS)Ulkoinen paikallinen yhdyskäytävä (NIC)8000-65535TCPViitata IP-aliverkot Webex-puhelupalveluille.5062, 8934

Näitä IP-osoitteita/portteja tarvitaan lähtevän SIP-TLS-puhelun signalointiin paikallisista yhdyskäytävästä, laitteista ja sovelluksista (lähde) Webex Calling Cloudiin (kohde).

Portti 5062 (tarvitaan varmennepohjaiseen runkoon). Ja portti 8934 (pakollinen rekisteröintipohjaiseen runkoon

Laitteet5060-50808934
SovelluksetEfemeraalinen (käyttöjärjestelmästä riippuvainen)
Soita medialle Webex-puheluun (SRTP)Paikallisen yhdyskäytävän ulkoinen verkkokortti8000-48198*UDPViitata IP-aliverkot Webex-puhelupalveluille.

8500—8700,19560—65535 (SRTP UDP:n yli)

STUN, ICE-Lite-pohjaista median optimointia ei tueta Webex for Governmentille.

Näitä IP-osoitteita/portteja käytetään lähteviin SRTP-puhelumediaan paikallisista yhdyskäytävästä, laitteista ja sovelluksista (lähde) Webex Calling Cloudiin (kohde).

Tietyissä verkkotopologioissa, joissa palomuureja käytetään asiakkaan tiloissa, salli pääsy mainituille lähde- ja kohdeporttialueille verkossasi median läpikulkua varten.

Esimerkki: Salli sovelluksissa lähde- ja kohdeporttialue 8500–8700.

Laitteet19560-19660
Sovellukset8500-8700
Soittomerkinanto PSTN-yhdyskäytävälle (SIP TLS)Paikallisen yhdyskäytävän sisäinen verkkokortti8000-65535TCPITSP PSTN GW tai Unified CMRiippuu PSTN-vaihtoehdosta (esimerkiksi tyypillisesti 5060 tai 5061 Unified CM:lle)
Soita mediaa PSTN-yhdyskäytävään (SRTP)Paikallisen yhdyskäytävän sisäinen verkkokortti8000-48198*UDPITSP PSTN GW tai Unified CMRiippuu PSTN-vaihtoehdosta (esimerkiksi tyypillisesti 5060 tai 5061 Unified CM:lle)
Laitekokoonpano ja laiteohjelmiston hallinta (Cisco-laitteet)Webex-soittolaitteetEfemeraalinenTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Pakollinen seuraavista syistä:

  1. Siirtyminen yrityspuhelimista (Cisco Unified CM) Webex-puheluihin. Katso upgrade.cisco.com Lisätietoja. cloudupgrader.webex.com käyttää portteja: 6970 443 laiteohjelmiston siirtoprosessille.

  2. Laiteohjelmistopäivitykset ja laitteiden (MPP- ja huone- tai pöytäpuhelimet) suojattu käyttöönotto 16-numeroisen aktivointikoodin (GDS) avulla.

  3. CDA / EDOS - MAC-osoitepohjainen hallinta. Käytetään laitteissa (MPP-puhelimet, ATA:t ja SPA ATA:t), joissa on uudempi laiteohjelmisto.

  4. Kun puhelin muodostaa yhteyden verkkoon ensimmäistä kertaa tai tehdasasetusten palauttamisen jälkeen, ilman DHCP-asetuksia, se ottaa yhteyttä laitteen aktivointipalvelimeen nollakosketuspalvelua varten. Uudet puhelimet käyttävät "activate.cisco.com" -osoitetta "webapps.cisco.com" -sivuston sijaan. Puhelimet, joiden laiteohjelmisto on julkaistu ennen 11.2(1), käyttävät edelleen "webapps.cisco.com" -osoitetta. On suositeltavaa sallia kaikki nämä IP-aliverkot.

Sovelluksen konfigurointiWebex-puhelusovelluksetEfemeraalinenTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Käytetään Idbroker-todennukseen, sovellusten konfigurointipalveluihin asiakkaille, selainpohjaiseen verkkokäyttöön itsehoitoon JA hallinnollisten käyttöliittymien käyttöön.
Laitteen ajan synkronointi (NTP)Webex-soittolaitteet51494UDPViitata IP-aliverkot Webex-puhelupalveluille.123Näitä IP-osoitteita tarvitaan laitteiden aikasynkronointiin (MPP-puhelimet, ATA:t ja SPA ATA:t).
Laitteen nimen ja sovelluksen nimen ratkaisuWebex-soittolaitteetEfemeraalinenUDP ja TCPIsännän määrittelemä53

Käytetään DNS-hakuihin Webex Calling -palveluiden IP-osoitteiden löytämiseksi pilvestä.

Vaikka tyypilliset DNS-haut tehdään UDP:n kautta, jotkut saattavat vaatia TCP:tä, jos kyselyvastaukset eivät mahdu UDP-paketteihin.
Sovellusajan synkronointiWebex-puhelusovellukset123UPDIsännän määrittelemä123
CScanWeb-pohjainen verkkovalmiuden esivalintatyökalu Webex-puheluihinEfemeraalinenUPDViitata IP-aliverkot Webex-puhelupalveluille.19569-19760Web-pohjainen verkkovalmiuden esivalintatyökalu Webex-puheluihin. Mene cscan.webex.com Lisätietoja.
Taulukko 6. Webex Calling- ja Webex Aware -lisäpalvelut (kolmannen osapuolen)
Yhteyden tarkoitusLähdeosoitteetLähdeportitpöytäkirjaKohdeosoitteetKohdesatamatHuomautuksia
Push-ilmoitukset APNS- ja FCM-palvelutWebex-puhelusovelluksetEfemeraalinenTCP

Katso linkkien alla mainitut IP-aliverkot

Apple Push Notification Service (APNS)

Google-Firebase Cloud Messaging (FCM)

443, 2197, 5228, 5229, 5230, 5223Ilmoitukset Webex-sovelluksille mobiililaitteissa (esimerkki: Kun saat uuden viestin tai kun puheluun vastataan)

 
  • *CUBE-mediaporttialue on konfiguroitavissa rtp-porttialue.
  • Jos välityspalvelimen osoite on määritetty sovelluksille ja laitteille, signalointiliikenne lähetetään välityspalvelimelle. Media siirrettyä SRTP:tä UDP:n kautta ei lähetetä välityspalvelimelle. Sen sijaan sen on virrattava suoraan palomuurillesi.
  • Jos käytät NTP- ja DNS-palveluita yritysverkossasi, avaa portit 53 ja 123 palomuurisi kautta.