Kokousten porttien ja IP-alueiden pikaopas

FedRAMP-kokousklusterissa käyttöönotetut sivustot käyttävät seuraavia IP-osoitealueita. Tässä asiakirjassa näitä alueita kutsutaan Webexin IP-alueiksi:

  • 150.253.150.0/23 (150.253.150.0 - 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 - 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 - 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 - 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 - 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 - 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 - 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 - 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 - 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 - 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 - 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 - 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 - 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 - 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 - 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 - 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 - 216.151.139.254)

Käyttöönotetut palvelut

Tällä IP-alueella käyttöönotettuihin palveluihin kuuluvat muun muassa seuraavat:

  • Kokoussivusto (esim. customersite.webex.com)
  • Kokousdatapalvelimet
  • Multimediapalvelimet tietokoneen äänelle (VoIP) ja web-kameravideolle
  • XML/API palvelut, mukaan lukien tuottavuustyökalujen aikataulutus
  • Verkkopohjaiset tallennuspalvelimet (NBR)
  • Toissijaiset palvelut, kun ensisijaiset palvelut ovat huollossa tai niissä on teknisiä ongelmia

Seuraavia URI-osoitteita käytetään tarkistamaan suojaussertifikaattiemme sulkulista. Varmenteiden sulkulistat varmistavat, ettei vaarantuneita varmenteita voida käyttää suojatun Webex-liikenteen sieppaamiseen. Tämä liikenne tapahtuu TCP-portissa 80:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (IdenTrust-sertifikaatit)

Webexin utiltp-prosessi välittää seuraavat käyttäjäagentit, ja ne tulisi sallia viraston palomuurin läpi:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping osana sallittuja URL-osoitteita. Sitä käytetään osana laitteen aktivointiprosessia, ja "laite käyttää sitä ennen kuin se tietää sen olevan FedRAMP-laite". Laite lähettää sille aktivointikoodin ilman FedRAMP-tietoja, palvelu näkee sen FedRAMP-aktivointikoodiksi ja ohjaa heidät sitten uudelleen."

Kaikki FedRAMP-liikenne vaatii TLS 1.2 -salauksen ja mTLS 1.2 -salauksen paikallisesti rekisteröidyille SIP-laitteille.

Webex Meetings -asiakkaiden käyttämät portit (mukaan lukien pilvirekisteröidyt laitteet)

ProtokollaPorttinumero(t)SuuntaLiikenteen tyyppiIP-alueKommentit
TCP80/443Lähtevä WebexiinHTTP, HTTPSWebex ja AWS (Ei suositella suodatusta IP-osoitteen perusteella)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Tätä käytetään staattisen sisällön ja tiedostojen tarjoamiseen)
  • *.wbx2.com

Webex suosittelee suodattamista URL-osoitteen mukaan. JOS suodatat IP-osoitteen mukaan, sinun on sallittava AWS GovCloudin, Cloudfrontin ja Webexin IP-alueet.

TCP/UDP53Lähtevä paikalliseen DNS:äänVerkkotunnuspalvelut (DNS)Vain DNS-palvelinKäytetään DNS-hakuihin Webex-palvelimien IP-osoitteiden löytämiseksi pilvessä. Vaikka tyypilliset DNS-haut tehdään UDP:n kautta, jotkut saattavat vaatia TCP:tä, jos kyselyvastaukset eivät mahdu UDP-paketteihin.
UDP9000, 5004Lähtevä WebexiinEnsisijainen Webex-asiakasohjelmamedia (VoIP & Videon RTP)WebexWebex-asiakasohjelman mediaporttia käytetään tietokoneen äänen, web-kameran videon ja sisällön jakamiseen suoratoistona. Tämän portin avaaminen on välttämätöntä parhaan mahdollisen mediakokemuksen varmistamiseksi.
TCP5004, 443, 80Lähtevä WebexiinVaihtoehtoinen Webex-asiakasohjelmamedia (VoIP & Videon RTP)WebexVaraportit mediayhteyksille, kun UDP-portti 9000 ei ole auki palomuurissa
UDP/TCP

Ääni: 52000–52049

Video: 52100–52199

Saapuva verkkoosiWebex-asiakasmedia (VoIP ja video)Paluu AWS:ltä ja Webexiltä

Webex kommunikoi vastaanottamansa kohdeportin kanssa, kun asiakas muodostaa yhteyden. Palomuuri tulisi määrittää sallimaan nämä paluuyhteydet.

Tämä on oletusarvoisesti käytössä.
TCP/UDPKäyttöjärjestelmäkohtaiset lyhytaikaiset portitSaapuva verkkoosiPaluuliikenne WebexistäPaluu AWS:ltä ja Webexiltä

Webex kommunikoi vastaanottamansa kohdeportin kanssa, kun asiakas muodostaa yhteyden. Palomuuri tulisi määrittää sallimaan nämä paluuyhteydet.

Tämä avataan yleensä automaattisesti tilallisessa palomuurissa, mutta se on lueteltu tässä täydellisyyden vuoksi.

Asiakkaiden, jotka ottavat käyttöön Webex for Governmentin eivätkä voi sallia URL-pohjaista HTTPS-suodatusta, on sallittava yhteys AWS Gov Cloud Westin kanssa (alue: us‐gov‐west‐1) ja Cloud Front (palvelu: PILVIETÄSSÄ). Tarkista AWS:n dokumentaatiosta AWS Gov Cloud West -alueen ja AWS Cloud Frontin IP-alueet. AWS-dokumentaatio on saatavilla osoitteessa https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex suosittelee vahvasti suodattamista URL-osoitteen perusteella aina kun se on mahdollista.

Cloudfrontia käytetään staattisen sisällön toimittamiseen Content Delivery Networkin kautta, jotta asiakkaille voidaan tarjota paras mahdollinen suorituskyky ympäri maata.

Paikallisesti rekisteröityjen Cisco-videoyhteistyölaitteiden käyttämät portit

Katso myös Cisco Webex Meetings Enterprisen käyttöönotto-opas videolaitteilla toteutettaville kokouksille

ProtokollaPorttinumerotSuuntaKäyttöoikeustyyppiIP-alueKommentit
TCP5061—5070Lähtevä WebexiinSIP-signalointiWebexWebex-mediaedge kuuntelee näitä portteja
TCP5061, 5065Saapuva verkkoosiSIP-signalointiWebexSaapuva SIP-signalointiliikenne Webex Cloudista
TCP5061Lähtevä WebexiinSIP-signalointi pilvirekisteröidyistä laitteistaAWSSaapuvat puhelut Webex-sovelluksesta 1:1 Soittaminen ja pilvirekisteröidyt laitteet paikalliseen rekisteröityyn SIP URI -osoitteeseesi. *5061 on oletusportti. Webex tukee portteja 5061–5070, joita asiakkaat voivat käyttää SIP SRV -tietueessaan määritellyllä tavalla.
TCP/UDP1719, 1720, 15000—19999Lähtevä WebexiinH.323 LSWebexJos päätepisteesi vaatii gatekeeper-tiedonsiirtoa, avaa myös portti 1719, joka sisältää Lifesizen
TCP/UDPLyhytaikaiset satamat, 36000—59999SaapuvaMediaportitWebexJos käytät Cisco Expresswayta, media-alueiksi on asetettava 36000–59999. Jos käytät kolmannen osapuolen päätepistettä tai puhelunhallintaa, ne on määritettävä käyttämään tätä aluetta.
TCP443SaapuvaPaikallisen laitteen läheisyysPaikallinen verkkoWebex-sovelluksen tai Webex-työpöytäsovelluksen ja videolaitteen välillä on oltava IPv4-reititystä tukeva polku HTTPS-protokollan avulla.

Asiakkaille, jotka ottavat käyttöön Webex for Governmentin ja vastaanottavat saapuvia puheluita Webex-sovelluksesta 1:1 Soittaminen ja pilvirekisteröidyt laitteet paikalliseen rekisteröityyn SIP URI -osoitteeseesi. Sinun on myös sallittava yhteys AWS Gov Cloud Westin kanssa (alue: us-gov-west-1). Tarkista AWS:n dokumentaatiosta AWS Gov Cloud West -alueen IP-osoitealueet. AWS-dokumentaatio on saatavilla osoitteessa https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Edge Audion käyttämät portit

Tämä on pakollista vain, jos käytät Edge Audiota.

ProtokollaPorttinumerotSuuntaKäyttöoikeustyyppiIP-alueKommentit
TCP5061—5062Saapuva verkkoosiSIP-signalointiWebexEdge Audion saapuva SIP-signalointi
TCP5061—5065Lähtevä WebexiinSIP-signalointiWebexLähtevä SIP-signalointi Edge Audiolle
TCP/UDPLyhytaikaiset satamat, 8000—59999Saapuva verkkoosiMediaportitWebexYritysjärjestelmän palomuurissa on avattava portteja Expresswaylle tulevalle liikenteelle porttialueella 8000–59999.

Määritä mTLS seuraavilla vaihtoehdoilla:

Webex-puhelupalveluiden verkkotunnukset ja URL-osoitteet

A * näytetään URL-osoitteen alussa (esimerkiksi *.webex.com) osoittaa, että ylätason verkkotunnuksen ja kaikkien aliverkkotunnusten palvelut ovat käytettävissä.

Taulukko 3. Webex-palvelut
Domain/URLKuvausWebex-sovellukset ja -laitteet, jotka käyttävät näitä domains/URLs

*.webex.com

*.cisco.com

*.webexgov.us

Core Webex -puhelut & Webex Aware -palvelut

Identiteetin tarjoaminen

Identiteettien tallennus

Todennus

OAuth-palvelut

Laitteen käyttöönotto

Kun puhelin muodostaa yhteyden verkkoon ensimmäistä kertaa tai tehdasasetusten palautuksen jälkeen ilman DHCP-asetuksia, se ottaa yhteyttä laitteen aktivointipalvelimeen manuaalista käyttöönottoa varten. Uudet puhelimet käyttävät activate.cisco.com-sivustoa ja puhelimet, joiden laiteohjelmistoversio on vanhempi kuin 11.2(1), käyttävät edelleen webapps.cisco.com-sivustoa käyttöönottoon.

Lataa laitteen laiteohjelmisto ja kieliasetusten päivitykset osoitteesta binaries.webex.com.

Kaikki
*.wbx2.com ja *.ciscospark.comKäytetään pilvitietoisuuteen, CSDM:ään, WDM:ään, elohopeaan ja niin edelleen. Nämä palvelut ovat välttämättömiä, jotta sovellukset ja laitteet voivat ottaa yhteyttä Webex Callingiin. & Webex Aware -palvelut käyttöönoton aikana ja sen jälkeen.Kaikki
*.webexapis.com

Webex-mikropalvelut, jotka hallitsevat sovelluksiasi ja laitteitasi.

Profiilikuvapalvelu

Valkotaulupalvelu

Läheisyyspalvelu

Läsnäolopalvelu

Rekisteröintipalvelu

Kalenteripalvelu

Hakupalvelu

Kaikki
*.webexcontent.com

Yleiseen tiedostojen tallennukseen liittyvä Webex Messaging -palvelu, mukaan lukien:

Käyttäjätiedostot

Transkoodatut tiedostot

Kuvat

Kuvakaappaukset

Valkotaulun sisältö

Asiakas & laitelokit

Profiilikuvat

Brändäyslogot

Lokitiedostot

CSV-tiedostojen joukkovienti & tiedostojen tuonti (Control Hub)

Webex-sovelluksen viestipalvelut.
Tiedostojen tallennus webexcontent.com-sivustolla korvattiin clouddrive.com-sivustolla lokakuussa 2019
Taulukko 4. Webexiin liittyvät lisäpalvelut (kolmannen osapuolen verkkotunnukset)
Domain/URLKuvausWebex-sovellukset ja -laitteet, jotka käyttävät näitä domains/URLs

*.appdynamics.com

*.eum-appdynamics.com

Suorituskyvyn seuranta, virheiden ja kaatumisten tallennus, istuntomittarit.Control Hub
*.huron-dev.comWebex Callingin mikropalvelut, kuten numeroiden vaihtopalvelut, puhelinnumeroiden tilaaminen ja varauspalvelut.Control Hub
*.sipflash.comLaitehallintapalvelut. Laiteohjelmistopäivitykset ja turvallinen käyttöönotto.Webex-sovellukset

*.google.com

*.googleapis.com

Ilmoitukset Webex-sovelluksiin mobiililaitteissa (esimerkki: uusi viesti, kun puheluun vastataan)

IP-aliverkkojen osalta katso näitä linkkejä

Google Firebase Cloud Messaging (FCM) -palvelu

Applen push-ilmoituspalvelu (APNS)

Webex-sovellus

Webex-puhelupalveluiden IP-aliverkot

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24
  • 144.196.17.0/24

Webex Callingin käyttämät portit

Taulukko 5. Webex Calling- ja Webex Aware -palvelut
Yhteyden tarkoitusLähdeosoitteetLähdeportitProtokollaKohdeosoitteetMääränpääsatamatMerkinnät
Puheluiden signalointi Webex Callingiin (SIP TLS)Ulkoinen paikallinen yhdyskäytävä (NIC)8000—65535TCPKatso Webex-puhelupalveluiden IP-aliverkot.5062, 8934

Nämä IPs/ports tarvitaan lähtevien SIP-TLS-puheluiden signalointiin paikallisista yhdyskäytävistä, laitteista ja sovelluksista (lähde) Webex Calling Cloudiin (kohde).

Portti 5062 (vaaditaan varmennepohjaiselle runkoyhteydelle). Ja portti 8934 (vaaditaan rekisteröintipohjaiselle runkoyhteydelle)

Laitteet5060—50808934
SovelluksetLyhytaikainen (käyttöjärjestelmästä riippuva)
Soita medialle Webex-puheluihin (SRTP)Paikallisen yhdyskäytävän ulkoinen verkkokortti8000—48198*UDPKatso Webex-puhelupalveluiden IP-aliverkot.

8500—8700, 19560—65535 (SRTP UDP:n kautta)

Webex for Government ei tue STUN- ja ICE-Lite-pohjaista mediaoptimointia.

Nämä IPs/ports käytetään lähteviin SRTP-puheluihin paikallisista yhdyskäytävistä, laitteista ja sovelluksista (lähde) Webex Calling Cloudiin (kohde).

Tietyissä verkkotopologioissa, joissa palomuureja käytetään asiakkaan tiloissa, salli mainittujen lähde- ja kohdeporttialueiden käyttö verkossasi, jotta media voi kulkea niiden läpi.

Esimerkki: Sovelluksissa lähde- ja kohdeporttien alueeksi tulee valita 8500–8700.

Laitteet19560—19660
Sovellukset8500—8700
Puheluiden signalointi PSTN-yhdyskäytävään (SIP TLS)Paikallisen yhdyskäytävän sisäinen verkkokortti8000—65535TCPITSP PSTN GW tai Unified CMRiippuu PSTN-asetuksesta (esimerkiksi tyypillisesti 5060 tai 5061 Unified CM:lle)
Soittomedia PSTN-yhdyskäytävään (SRTP)Paikallisen yhdyskäytävän sisäinen verkkokortti8000—48198*UDPITSP PSTN GW tai Unified CMRiippuu PSTN-asetuksesta (esimerkiksi tyypillisesti 5060 tai 5061 Unified CM:lle)
Laitekonfiguraatio ja laiteohjelmiston hallinta (Cisco-laitteet)Webex-puhelulaitteetLyhytaikainenTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Vaaditaan seuraavista syistä:

  1. Siirtyminen yrityspuhelimista (Cisco Unified CM) Webex Callingiin. Lisätietoja on osoitteessa upgrade.cisco.com. Cloudupgrader.webex.com käyttää seuraavia portteja: 6970 443 laiteohjelmiston siirtoprosessia varten.

  2. Laitteiden (MPP ja huone- tai pöytäpuhelimet) laiteohjelmistopäivitykset ja turvallinen käyttöönotto 16-numeroisen aktivointikoodin (GDS) avulla.

  3. CDA:lle / EDOS - MAC-osoitteeseen perustuva provisiointi. Käytössä laitteissa (MPP-puhelimet, ATAt ja SPA ATAt), joissa on uudempi laiteohjelmisto.

  4. Kun puhelin muodostaa yhteyden verkkoon ensimmäistä kertaa tai tehdasasetusten palauttamisen jälkeen ilman, että DHCP-asetuksia on määritetty, se ottaa yhteyttä laitteen aktivointipalvelimeen manuaalista käyttöönottoa varten. Uudet puhelimet käyttävät käyttöönottoon osoitetta "activate.cisco.com" osoitetta "webapps.cisco.com" sijaan. Puhelimet, joiden laiteohjelmisto on julkaistu ennen versiota 11.2(1), käyttävät edelleen osoitetta "webapps.cisco.com". On suositeltavaa sallia kaikki nämä IP-aliverkot.

Sovelluksen konfigurointiWebex-puhelusovelluksetLyhytaikainenTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Käytetään Idbroker-todennukseen, asiakkaiden sovellusten konfigurointipalveluihin, selainpohjaiseen verkkokäyttöön itsepalvelua varten JA hallinnollisten käyttöliittymien käyttöön.
Laitteen aikasynkronointi (NTP)Webex-puhelulaitteet51494UDPKatso Webex-puhelupalveluiden IP-aliverkot.123Näitä IP-osoitteita tarvitaan laitteiden (MPP-puhelimien, ATA-laitteiden ja SPA-ATA-laitteiden) aikasynkronointiin.
Laitteen nimen ja sovelluksen nimen selvitysWebex-puhelulaitteetLyhytaikainenUDP ja TCPIsännän määrittämä53

Käytetään DNS-hakuihin Webex-puhelupalveluiden IP-osoitteiden löytämiseksi pilvessä.

Vaikka tyypilliset DNS-haut tehdään UDP:n kautta, jotkin saattavat vaatia TCP:tä, jos kyselyvastaukset eivät mahdu UDP-paketteihin.
Sovelluksen ajan synkronointiWebex-puhelusovellukset123PÄIVITYSIsännän määrittämä123
CScanVerkkopohjainen verkkovalmiuden esikarsintatyökalu Webex CallingilleLyhytaikainenPÄIVITYSKatso Webex-puhelupalveluiden IP-aliverkot.19569—19760Verkkopohjainen verkon valmiuden esikarsintatyökalu Webex Callingille. Lisätietoja on osoitteessa cscan.webex.com.
Taulukko 6. Lisäpalvelut Webex Calling ja Webex Aware (kolmannen osapuolen tarjoamat)
Yhteyden tarkoitusLähdeosoitteetLähdeportitProtokollaKohdeosoitteetMääränpääsatamatMerkinnät
Push-ilmoitukset APNS- ja FCM-palvelutWebex-puhelusovelluksetLyhytaikainenTCP

Katso linkkien alla mainitut IP-aliverkot

Applen push-ilmoituspalvelu (APNS)

Google-Firebase-pilviviestintä (FCM)

443, 2197, 5228, 5229, 5230, 5223Ilmoitukset Webex-sovelluksiin mobiililaitteissa (esimerkki: Kun saat uuden viestin tai kun puheluun vastataan)
  • *CUBE-mediaporttien alue on konfiguroitavissa rtp-port range-määrityksellä.
  • Jos sovelluksille ja laitteille on määritetty välityspalvelimen osoite, signalointiliikenne lähetetään välityspalvelimelle. SRTP:n kautta UDP:n kautta siirrettyä mediaa ei lähetetä välityspalvelimelle. Sen on sen sijaan virrattava suoraan palomuuriisi.
  • Jos käytät NTP- ja DNS-palveluita yritysverkossasi, avaa portit 53 ja 123 palomuurin kautta.