Kiitos palautteestasi.
Webex for Governmentin verkkovaatimukset (FedRAMP)
Onko sinulla palautetta?
Kokousten portit ja IP-alueet pikaohje
FedRAMP-kokousklusteriin sijoitetut sivustot käyttävät seuraavia IP-alueita. Tässä asiakirjassa näihin alueisiin viitataan nimellä "Webex IP -alueet":
- 150.253.150.0/23 (150.253.150.0-150.253.151.255).
- 144.196.224.0/21 (144.196.224.0 - 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0-23.89.19.255).
- 163.129.16.0/21 (163.129.16.0 - 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0-170.72.254.255).
- 170.133.156.0/22 (170.133.156.0-170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 - 207.182.167.255)
- 207.182.168.0/23 (207.182.168.0 - 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 - 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 - 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0-216.151.130.255).
- 216.151.134.0/24 (216.151.134.0-216.151.134.255).
- 216.151.135.0/25 (216.151.135.0 - 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 - 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 - 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 - 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 - 216.151.139.254)
Käytössä olevat palvelut
Tällä IP-alueella tarjottaviin palveluihin kuuluvat muun muassa seuraavat:
- Kokouksen verkkosivusto (esim. customersite.webex.com).
- Kokouspalvelimet
- Multimediapalvelimet tietokoneen ääntä (VoIP) ja web-kameravideota varten.
- XML/API-palvelut, mukaan lukien tuottavuustyökalujen aikataulutus.
- Verkkopohjaiset tallentavat palvelimet (NBR)
- Toissijaiset palvelut silloin, kun ensisijaiset palvelut ovat huollossa tai niissä on teknisiä ongelmia.
Seuraavia URI:itä käytetään tarkistamaan turvallisuusvarmenteidemme "Certificate Revocation List" (varmenteiden peruutusluettelo). Varmenteiden peruutusluettelot, joilla varmistetaan, ettei vaarantuneita varmenteita voida käyttää suojatun Webex-liikenteen sieppaamiseen. Tämä liikenne tapahtuu TCP-portissa 80:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (IdenTrust varmenteet)
Webexin utiltp-prosessi välittää seuraavat UserAgents-agentit Webexin kautta, ja niiden pitäisi olla sallittuja viraston palomuurin läpi:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping osana sallittuja URL-osoitteita. Sitä käytetään osana laitteen aktivointiprosessia, ja "laite käyttää sitä ennen kuin se tietää, että se on FedRAMP-laite". Laite lähettää sille aktivointikoodin, jossa ei ole FedRAMP-tietoja, palvelu näkee, että kyseessä on FedRAMP-aktivointikoodi, ja sitten se ohjaa ne uudelleen."
Kaikki FedRAMP-liikenne edellyttää TLS 1.2 -salausta ja mTLS 1.2 -salausta paikan päällä oleville SIP-rekisteröidyille laitteille.
Webex Meetings -asiakkaiden käyttämät portit (mukaan lukien pilvipalveluun rekisteröidyt laitteet).
| Protokolla | Porttinumero(t) | Suunta | Liikennetyyppi | IP-alue | Kommentit |
|---|---|---|---|---|---|
| TCP | 80/443 | Lähtevä Webexiin | HTTP, HTTPS | Webex ja AWS (ei suositella suodatusta IP:n mukaan) |
Webex suosittelee suodattamista URL-osoitteen mukaan. JOS suodatat IP-osoitteen mukaan, sinun on sallittava AWS GovCloudin, Cloudfrontin ja Webexin IP-alueet. |
| TCP/UDP | 53 | Lähtevä paikalliseen DNS:ään | Verkkotunnuspalvelut (DNS) | Vain DNS-palvelin | Käytetään DNS-hakuja varten pilvessä olevien Webex-palvelimien IP-osoitteiden löytämiseksi. Vaikka tyypilliset DNS-hakuja tehdään UDP:n kautta, jotkut saattavat vaatia TCP:tä, jos kyselyvastaukset eivät mahdu UDP-paketteihin. |
| UDP | 9000, 5004 | Lähtevä Webexiin | Ensisijainen Webex-asiakasmedia (VoIP & Video RTP) | Webex | Webex-asiakkaan mediaporttia käytetään tietokoneen äänen, webkameravideon ja sisällönjakovirtojen vaihtoon. Tämän portin avaaminen on välttämätöntä parhaan mahdollisen mediakokemuksen varmistamiseksi. |
| TCP | 5004, 443, 80 | Lähtevä Webexiin | Vaihtoehtoinen Webex Client Media (VoIP & Video RTP) | Webex | Varaportit mediayhteyttä varten, kun UDP-portti 9000 ei ole auki palomuurissa. |
| UDP/TCP |
Ääni: 52000-52049 Video: 52100-52199 | Verkkoon saapuvat lähetykset | Webex Client Media (Voip ja video) | Paluu AWS:stä ja Webexistä |
Webex viestii siihen kohdeporttiin, joka on saatu, kun asiakas muodostaa yhteyden. Palomuuri on määritettävä siten, että se sallii nämä paluuyhteydet. Tämä on oletusarvoisesti käytössä. |
| TCP/UDP | Käyttöjärjestelmäkohtaiset efemeriset portit | Verkkoon saapuvat lähetykset | Paluuliikenne Webexistä | Paluu AWS:stä ja Webexistä |
Webex viestii siihen kohdeporttiin, joka on saatu, kun asiakas muodostaa yhteyden. Palomuuri on määritettävä siten, että se sallii nämä paluuyhteydet. Tämä avataan yleensä automaattisesti tilatietoisessa palomuurissa, mutta se on lueteltu tässä täydentävyyden vuoksi. |
Asiakkaiden, jotka ottavat käyttöön Webex for Government -palvelun ja jotka eivät voi sallia URL-pohjaista HTTPS-suodatusta, on sallittava yhteys AWS Gov Cloud West -palveluun (alue: us-gov-west-1) ja Cloud Front (service: CLOUDFRONT). Tutustu AWS:n dokumentaatioon määrittääksesi AWS Gov Cloud West -alueen ja AWS Cloud Frontin IP-alueet. AWS:n dokumentaatio on saatavilla osoitteessa https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex suosittelee vahvasti URL-osoitteen mukaista suodatusta, kun se on mahdollista.
Cloudfrontia käytetään staattiseen sisältöön, joka toimitetaan Content Delivery Network -verkon kautta, jotta asiakkaat saavat parhaan suorituskyvyn ympäri maata.
Tiloihin rekisteröityjen Ciscon videoyhteistyölaitteiden käyttämät portit
| Protokolla | Satamanumerot | Suunta | Pääsytyyppi | IP-alue | Kommentit |
|---|---|---|---|---|---|
| TCP | 5061—5070 | Lähtevä Webexiin | SIP-signalointi | Webex | Webex media edge kuuntelee seuraavia portteja |
| TCP | 5061, 5065 | Verkkoon saapuvat lähetykset | SIP-signalointi | Webex | Webex Cloudista tuleva SIP-signalointiliikenne |
| TCP | 5061 | Lähtevä Webexiin | SIP-signalointi pilvipalveluun rekisteröidyistä laitteista | AWS | Webex App 1:1 Calling -palvelun ja pilvipalveluun rekisteröityjen laitteiden saapuvat puhelut paikalliseen rekisteröityyn SIP URI:hen. *5061 on oletusportti. Webex tukee portteja 5061-5070, joita asiakkaat voivat käyttää SIP SRV Record -tietueessa määritellyllä tavalla. |
| TCP/UDP | 1719, 1720, 15000—19999 | Lähtevä Webexiin | H.323 LS | Webex | Jos päätelaitteesi vaatii portinvartijan viestintää, avaa myös portti 1719, joka sisältää Lifesize |
| TCP/UDP | Ephemeral Ports, 36000-59999 | Saapuva | Mediaportit | Webex | Jos käytät Ciscon Expresswayta, media-alueet on asetettava arvoihin 36000-59999. Jos käytät kolmannen osapuolen päätelaitetta tai puhelunohjausta, ne on määritettävä käyttämään tätä aluetta. |
| TCP | 443 | Saapuva | Paikan päällä olevan laitteen läheisyys | Paikallinen verkko | Webex-sovelluksella tai Webex Desktop App -sovelluksella on oltava IPv4-reititettävissä oleva reitti itsensä ja videolaitteen välillä HTTPS:ää käyttäen. |
Asiakkaille, jotka ottavat käyttöön Webex for Government -palvelun ja vastaanottavat saapuvia puheluita Webex App 1:1 Calling -sovelluksesta ja pilvipalveluun rekisteröidyistä laitteista paikallisesti rekisteröityyn SIP-URI:si. Sinun on myös sallittava yhteys AWS Gov Cloud West -palveluun (alue: us-gov-west-1). Tutustu AWS:n dokumentaatioon määrittääksesi AWS Gov Cloud West -alueen IP-alueet. AWS:n dokumentaatio on saatavilla osoitteessa https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Edge Audion käyttämät portit
Tätä tarvitaan vain, jos käytät Edge Audio -ohjelmaa.
| Protokolla | Satamanumerot | Suunta | Pääsytyyppi | IP-alue | Kommentit |
|---|---|---|---|---|---|
| TCP | 5061—5062 | Verkkoon saapuvat lähetykset | SIP-signalointi | Webex | Edge Audio -palvelun saapuva SIP-signalointi |
| TCP | 5061—5065 | Lähtevä Webexiin | SIP-signalointi | Webex | Lähtevä SIP-signalointi Edge Audio -palvelua varten |
| TCP/UDP | Ephemeral Ports, 8000-59999 | Verkkoon saapuvat lähetykset | Mediaportit | Webex | Yrityksen palomuurissa on avattava portit Expresswaylle tulevalle liikenteelle porttialueella 8000-59999. |
Määritä mTLS seuraavien vaihtoehtojen avulla:
- Expresswayn määrittäminen | Keskinäinen TLS-todennus.
- Tuetut juurisertifikaattilaitokset | Cisco Webex Audio- ja videoalustat.
- Edge Audio | Configuration Guide.
Webex Calling -palvelujen verkkotunnukset ja URL-osoitteet
URL-osoitteen alussa näkyvä * (esimerkiksi *.webex.com) osoittaa, että ylätason verkkotunnuksen ja kaikkien alatunnusten palvelut ovat käytettävissä.
| Verkkotunnus/URL | Kuvaus | Webex-sovellukset ja -laitteet, jotka käyttävät näitä verkkotunnuksia/URL:eja. |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
Keskeiset Webex Calling & Webex Aware -palvelut Identiteetin tarjoaminen Identiteetin varastointi Todennus OAuth-palvelut Laitteen käyttöönotto Kun puhelin muodostaa yhteyden verkkoon ensimmäistä kertaa tai tehdasasetusten palautuksen jälkeen, kun DHCP-asetuksia ei ole asetettu, se ottaa yhteyttä laitteen aktivointipalvelimeen nollakosketuksen käyttöönottoa varten. Uudet puhelimet käyttävät activate.cisco.com-sivustoa ja puhelimet, joiden laiteohjelmiston versio on aikaisempi kuin 11.2(1), käyttävät edelleen webapps.cisco.com-sivustoa käyttöönotossa. Lataa laitteen laiteohjelmisto- ja paikallisohjelmistopäivitykset osoitteesta binaries.webex.com. | Kaikki |
| *.wbx2.com ja *.ciscospark.com. | Käytetään pilvitietoisuuteen, CSDM, WDM, elohopea ja niin edelleen. Nämä palvelut ovat välttämättömiä, jotta sovellukset ja laitteet voivat ottaa yhteyttä Webex Calling- ja Webex Aware -palveluihin käyttöönoton aikana ja sen jälkeen. | Kaikki |
| *.webexapis.com |
Webexin mikropalvelut, joilla hallitaan sovelluksia ja laitteita. Profiilikuvapalvelu Whiteboarding-palvelu Läheisyyspalvelu Läsnäolopalvelu Rekisteröintipalvelu Kalenteripalvelu Hakupalvelu | Kaikki |
| *.webexcontent.com |
Webex-viestipalvelu, joka liittyy yleiseen tiedostojen tallennukseen, mukaan lukien: Käyttäjän tiedostot Transkoodatut tiedostot Kuvat Kuvakaappaukset Valkotaulun sisältö Asiakas- ja laitelokit Profiilikuvat Brändäyslogot Lokitiedostot CSV-ulkovientitiedostot ja tuontitiedostot (Control Hub) | Webex App -viestipalvelut. Tiedostojen tallennus käyttäen webexcontent.com korvattu clouddrive.com lokakuussa 2019 |
| Verkkotunnus/URL | Kuvaus | Webex-sovellukset ja -laitteet, jotka käyttävät näitä verkkotunnuksia/URL:eja. |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | Suorituskyvyn seuranta, virheiden ja kaatumisten tallentaminen, istuntomittarit. | Control Hub |
| *.huron-dev.com | Webex Calling -mikropalvelut, kuten vaihtopalvelut, puhelinnumeron tilaaminen ja määrityspalvelut. | Control Hub |
| *.sipflash.com | Laitteiden hallintapalvelut. Laiteohjelmiston päivitykset ja turvallinen käyttöönotto. | Webex-sovellukset |
|
*.google.com *.googleapis.com |
Ilmoitukset Webex-sovelluksiin mobiililaitteissa (Esim: uusi viesti, kun puheluun vastataan) IP-alaverkot löytyvät seuraavista linkeistä. | Webex-sovellus |
Webex Calling -palvelujen IP-aliverkot
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
Webex Callingin käyttämät portit
| Yhteyden tarkoitus | Lähdeosoitteet | Lähdeportit | Protokolla | Kohdeosoitteet | Määränpääportit | Merkinnät |
|---|---|---|---|---|---|---|
| Puhelun signalointi Webex Callingiin (SIP TLS) | Paikallinen ulkoinen yhdyskäytävä (NIC) | 8000—65535 | TCP | Katso IP-aliverkot Webex-puhelupalveluita varten. | 5062, 8934 |
Näitä IP-osoitteita/portteja tarvitaan lähtevän SIP-TLS-puhelun signalointiin paikallisilta yhdyskäytäviltä, laitteilta ja sovelluksilta (lähde) Webex Calling Cloudiin (kohde). Portti 5062 (vaaditaan varmennepohjaisessa trunkissa). Ja portti 8934 (tarvitaan rekisteröintiin perustuvassa runkoverkossa). |
| Laitteet | 5060—5080 | 8934 | ||||
| Sovellukset | Ephemeral (käyttöjärjestelmästä riippuvainen) | |||||
| Soita media Webex-puheluihin (SRTP) | Paikallinen yhdyskäytävä ulkoinen verkkokortti | 8000—48198†* | UDP | Katso IP-aliverkot Webex-puhelupalveluita varten. |
8500-8700,19560-65535 (SRTP UDP:n kautta) |
STUN, ICE-Lite-pohjainen mediaoptimointi ei ole tuettu Webex for Governmentissa. Näitä IP-osoitteita/portteja käytetään lähtevien SRTP-puhelujen mediaa varten paikallisilta yhdyskäytäviltä, laitteilta ja sovelluksilta (lähde) Webex Calling Cloudiin (kohde). Tietyissä verkkotopologioissa, joissa asiakkaan tiloissa käytetään palomuureja, salli mainituille lähde- ja kohdeporttialueille pääsy verkon sisällä, jotta media voi kulkea niiden läpi. Esimerkki: Salli sovelluksissa lähde- ja kohdeporttialue 8500-8700. |
| Laitteet | 19560—19660 | |||||
| Sovellukset | 8500—8700 | |||||
| Puhelun signalointi PSTN-yhdyskäytävään (SIP TLS) | Paikallinen yhdyskäytävä sisäinen verkkokortti | 8000—65535 | TCP | ITSP:n PSTN GW tai Unified CM -palvelu | Riippuu PSTN-vaihtoehdosta (esimerkiksi tyypillisesti 5060 tai 5061 Unified CM:lle). | |
| Puhelun media PSTN-yhdyskäytävään (SRTP) | Paikallinen yhdyskäytävä sisäinen verkkokortti | 8000—48198†* | UDP | ITSP:n PSTN GW tai Unified CM -palvelu | Riippuu PSTN-vaihtoehdosta (esimerkiksi tyypillisesti 5060 tai 5061 Unified CM:ssä). | |
| Laitteen konfigurointi ja laiteohjelmiston hallinta (Ciscon laitteet) | Webex Calling -laitteet | Ephemeral | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
Vaaditaan seuraavista syistä:
|
| Sovelluksen konfigurointi | Webex Calling -sovellukset | Ephemeral | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Käytetään Idbroker-tunnistautumiseen, sovellusten konfigurointipalveluihin asiakkaille, selainpohjaiseen verkkokäyttöön itsehoitoa varten JA hallintaliittymien käyttöön. |
| Laitteen ajan synkronointi (NTP) | Webex Calling -laitteet | 51494 | UDP | Katso IP-aliverkot Webex-puhelupalveluita varten. | 123 | Näitä IP-osoitteita tarvitaan laitteiden (MPP-puhelimet, ATA:t ja SPA ATA:t) aikasynkronointia varten. |
| Laitteen ja sovelluksen nimen resoluutio | Webex Calling -laitteet | Ephemeral | UDP ja TCP | Isännän määrittelemä | 53 | Käytetään DNS-hakuja varten pilvipalvelussa olevien Webex Calling -palvelujen IP-osoitteiden löytämiseksi. Vaikka tyypilliset DNS-hakuja tehdään UDP:n kautta, jotkut saattavat vaatia TCP:tä, jos kyselyvastaukset eivät mahdu UDP-paketteihin. |
| Sovelluksen ajan synkronointi | Webex Calling -sovellukset | 123 | UPD | Isännän määrittelemä | 123 | |
| CScan | Verkkopohjainen verkko-valmiuden esikarsintatyökalu Webex Calling -palvelua varten. | Ephemeral | UPD | Katso IP-aliverkot Webex-puhelupalveluita varten. | 19569—19760 | Verkkopohjainen verkkovalmiuden esikarsintatyökalu Webex Calling -palvelua varten. Lisätietoja saat osoitteesta cscan.webex.com . |
| Yhteyden tarkoitus | Lähdeosoitteet | Lähdeportit | Protokolla | Kohdeosoitteet | Määränpääportit | Merkinnät |
|---|---|---|---|---|---|---|
| Push-ilmoitukset APNS- ja FCM-palvelut | Webex Calling -sovellukset | Ephemeral | TCP |
Katso linkkien alla mainitut IP-aliverkot. | 443, 2197, 5228, 5229, 5230, 5223 | Ilmoitukset Webex-sovelluksiin mobiililaitteissa (Esim: Kun saat uuden viestin tai kun puheluun vastataan). |
- †*CUBE-mediaporttialue on määritettävissä rtp-porttialueella.
- Jos sovelluksille ja laitteille on määritetty välityspalvelimen osoite, signalointiliikenne lähetetään välityspalvelimeen. UDP:n kautta SRTP:llä siirrettyä mediaa ei lähetetä välityspalvelimelle. Sen sijaan sen on kuljettava suoraan palomuuriin.
- Jos käytät NTP- ja DNS-palveluja yritysverkossa, avaa portit 53 ja 123 palomuurin kautta.
