Directives gouvernementales sur les exigences réseau, y compris les plages IP et la configuration des ports pour Webex Meetings et Webex Calling.
Référence rapide des ports de réunions et des plages IP
Les plages IP suivantes sont utilisées par les sites déployés sur le cluster de réunions FedRAMP. Pour ce document, ces plages sont appelées « plages IP Webex » :
- 150.253.150.0/23 (150.253.150.0 à 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 à 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 à 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 à 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 à 170.72.254.255)
- 170.133.156.0/22 (170.133.156.0 à 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 à 207.182.167.255)
- 207.182.168.0/23 (207.182.168.0 à 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 à 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 à 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0 à 216.151.130.255)
- 216.151.134.0/24 (216.151.134.0 à 216.151.134.255)
- 216.151.135.0/25 (216.151.135.0 à 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 à 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 à 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 à 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 à 216.151.139.254)
Services déployés
Les services déployés sur cette plage IP comprennent, sans s’y limiter, les éléments suivants :
- Le site Web de la réunion (par ex., customersite.webex.com)
- Serveurs de données de réunion
- Serveurs multimédia pour l’audio de l’ordinateur (VoIP) et la vidéo de la webcam
- Services XML/API, y compris la programmation des Outils de productivité
- Serveurs d'enregistrement en réseau (NBR)
- Services secondaires lorsque les services primaires sont en maintenance ou rencontrent des difficultés techniques
Les URI suivantes sont utilisées pour vérifier la « Liste de révocation de certificats » pour nos certificats de sécurité. Les listes de révocation de certificats permettent de s'assurer qu'aucun certificat compromis ne peut être utilisé pour intercepter le trafic Webex sécurisé. Ce trafic se produit sur le port TCP 80 :
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (certificats IdenTrust)
 | Les UserAgents suivants seront transmis par Webex par le processus utiltp dans Webex et doivent être autorisés via le pare-feu d’une agence :
|
https://activation.webex.com/api/v1/ping comme faisant partie des URL autorisées. Il est utilisé dans le cadre du processus d'activation de l'appareil, et "l'appareil l'utilise avant de savoir qu'il s'agit d'un appareil FedRAMP. L’appareil lui envoie un code d’activation sans aucune information FedRAMP, le service voit qu’il s’agit d’un code d’activation FedRAMP, puis il les redirige. »
Tout le trafic FedRAMP nécessite le chiffrement TLS 1.2 et le chiffrement mTLS 1.2 pour les périphériques enregistrés sur site SIP.
Ports utilisés par les clients Webex Meetings (y compris les périphériques enregistrés sur le Cloud)
| Protocole | Numéro(s) de port | Direction | Type de trafic | Plages d’IP | Commentaires | ||
|---|---|---|---|---|---|---|---|
| TCP | 80/443 | Sortie vers Webex | HTTP, HTTPS | Webex et AWS (Pas recommandé pour filtrer par IP) |
Webex recommande de filtrer par URL. EN CAS de Filtrage par adresse IP, vous devez autoriser les plages IP AWS GovCloud, Cloudfront et Webex. | ||
| TCP/UDP | 53 | Sortant vers le DNS local | Services de noms de domaine (DNS) | Serveur DNS uniquement | Utilisé pour les recherches DNS afin de découvrir les adresses IP des serveurs Webex dans le Cloud. Même si les recherches DNS habituelles sont effectuées par UDP, certaines peuvent nécessiter TCP, si les réponses aux requêtes ne peuvent pas tenir dans les paquets UDP. | ||
| UCP | 9000, 5004 | Sortie vers Webex | Média primaire du client Webex (VoIP et vidéo RTP) | Webex | Le port média du client Webex est utilisé pour échanger des flux audio d’ordinateur, des vidéos de webcams et des flux de partage de contenu. L’ouverture de ce port est nécessaire pour garantir la meilleure expérience média possible. | ||
| TCP | 5004, 443, 80 | Sortie vers Webex | Autre média du client Webex (VoIP et vidéo RTP) | Webex | Ports de secours pour la connectivité média lorsque le port UDP 9000 n’est pas ouvert dans le pare-feu. | ||
| UDP/TCP | Audio : 52000 à 52049 Vidéo : 52100 à 52199 | Entrant sur votre réseau | Média du client Webex (Voip et vidéo) | Retour d’AWS et Webex | Webex communique sur le port de destination reçu lorsque le client établit sa connexion. Un pare-feu doit être configuré pour autoriser le passage de ces connexions de retour.
| ||
| TCP/UDP | Ports éphémères spécifiques au système d’exploitation | Entrant sur votre réseau | Trafic de retour de Webex | Retour d’AWS et Webex | Webex communique sur le port de destination reçu lorsque le client établit sa connexion. Un pare-feu doit être configuré pour autoriser le passage de ces connexions de retour.
|
Pour les clients qui activent Webex for Government et qui ne peuvent pas autoriser le filtrage basé sur les URL pour HTTPS, vous devez autoriser la connectivité avec AWS Gov Cloud West (région : us‐gov‐west‐1) et Cloud Front (service : FACE AVANT). Veuillez consulter la documentation AWS pour identifier les plages IP pour la région AWS Gov Cloud West et AWS Cloud Front. La documentation AWS est disponible sur https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex recommande fortement de filtrer par URL dans la mesure du possible.
Cloudfront est utilisé pour le contenu statique fourni via Content Delivery Network afin d’offrir aux clients les meilleures performances dans tout le pays.
Ports utilisés par les périphériques de collaboration vidéo Cisco enregistrés sur site
Voir également le Guide de déploiement en entreprise de Cisco Webex Meetings pour les réunions avec périphériques vidéo
| Protocole | Numéros de port | Direction | Type d’accès | Plages d’IP | Commentaires |
|---|---|---|---|---|---|
| TCP | 5061 À 5070 | Sortie vers Webex | Signalisation SIP | Webex | L’edge média Webex écoute sur ces ports |
| TCP | 5061, 5065 | Entrant sur votre réseau | Signalisation SIP | Webex | Trafic de signalisation SIP entrant à partir du Cloud Webex |
| TCP | 5061 | Sortie vers Webex | Signalisation SIP à partir des périphériques enregistrés sur le Cloud | AWS | Appels entrants à partir des périphériques Webex App 1 à 1 Calling et enregistrés sur le Cloud vers votre URI SIP enregistré sur site. *5061 est le port par défaut. Webex prend en charge les ports 5061 à 5070 à utiliser par les clients comme défini dans leur enregistrement SIP SRV |
| TCP/UDP | 1719, 1720, 15000 À 19999 | Sortie vers Webex | H.323 LS | Webex | Si votre point de terminaison nécessite une communication de gatekeeper, ouvrez également le port 1719, qui inclut Lifesize |
| TCP/UDP | Ports éphémères, 36000 à 59999 | Entrant | Ports média | Webex | Si vous utilisez une passerelle Cisco Expressway, les plages média doivent être configurées sur 36000-59999. Si vous utilisez un terminal tiers ou le contrôle d’appel, ils doivent être configurés pour utiliser cette plage. |
| TCP | 443 | Entrant | Proximité du périphérique sur site | Réseau local | L’application Webex ou l’application de bureau Webex doit avoir un chemin d’acheminement IPv4 entre elle-même et le périphérique vidéo en utilisant HTTPS |
Pour les clients activant Webex for Government recevant des appels entrants à partir de périphériques enregistrés dans l’application Webex 1:1 Calling et sur le Cloud vers votre URI SIP enregistré sur site. Vous devez également autoriser la connectivité avec AWS Gov Cloud West (région : us‐gov‐west‐1). Veuillez consulter la documentation AWS pour identifier les plages IP pour la région AWS Gov Cloud West. La documentation AWS est disponible sur https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Ports utilisés par l’audio Edge
Ceci n’est requis que si vous tirez parti de l’audio Edge.
| Protocole | Numéros de port | Direction | Type d’accès | Plages d’IP | Commentaires |
|---|---|---|---|---|---|
| TCP | 5061 À 5062 | Entrant sur votre réseau | Signalisation SIP | Webex | Signalisation SIP entrante pour l’audio Edge |
| TCP | 5061 À 5065 | Sortie vers Webex | Signalisation SIP | Webex | Signalisation SIP sortante pour l’audio Edge |
| TCP/UDP | Ports éphémères, 8000 à 59999 | Entrant sur votre réseau | Ports média | Webex | Sur un pare-feu d’entreprise, les ports doivent être ouverts pour le trafic entrant vers l’Expressway avec une plage de ports allant de 8000 à 59999 |
Configurez mTLS en utilisant les options suivantes :
- Configurer Expressway |Authentification TLS mutuelle.
- Autorités de certification racine prises en charge |Plateformes audio et vidéo Cisco Webex.
- Audio Edge |Guide de configuration.
Domaines et URL pour les services Webex Calling
Un * affiché au début d'une URL (par exemple, *.webex.com) indique que les services du domaine de premier niveau et tous les sous-domaines sont accessibles.
| Domaine/URL | Description | Applications et périphériques Webex utilisant ces domaines/URL | ||
|---|---|---|---|---|
*.webex.com *.cisco.com *.webexgov.us | Webex Calling et Webex Aware de base Provisionnement de l’identité Stockage des identités Identification Services OAuth Intégration du périphérique Lorsqu'un téléphone se connecte à un réseau pour la première fois ou après une réinitialisation d'usine sans aucune option DHCP définie, il contacte un serveur d'activation de périphérique pour un provisionnement sans contact. Les nouveaux téléphones utilisent activate.cisco.com et les téléphones avec une version de micrologiciel antérieure à 11.2(1), continuent à utiliser webapps.cisco.com pour le provisionnement. Téléchargez le micrologiciel du périphérique et les mises à jour des paramètres régionaux à partir de binaires.webex.com . | Tous | ||
| *.wbx2.com et *.ciscospark.com | Utilisé pour la sensibilisation au cloud, CSDM, WDM, mercure, etc. Ces services sont nécessaires pour que les applications et les périphériques contactent les Webex Calling et Webex Aware pendant et après l’intégration. | Tous | ||
| *.webexapis.com | Microservices Webex qui gèrent vos applications et vos périphériques. Service de photo de profil Service de tableau blanc Service de proximité Service de présence Service d’inscription Service de calendrier Service de recherche | Tous | ||
| *.webexcontent.com | Service de messagerie Webex lié au stockage général des fichiers, notamment : Fichiers utilisateur Fichiers transcodés Images Captures d'écran Contenu du tableau blanc Journaux des clients et des périphériques Images de profil Logos de marque Fichiers journaux Fichiers d'exportation et d'importation de fichiers CSV en masse (Control Hub) | Services de messagerie de l’application Webex.
|
| Domaine/URL | Description | Applications et périphériques Webex utilisant ces domaines/URL |
|---|---|---|
*.appdynamics.com *.eum-appdynamics.com | Suivi des performances, capture des erreurs et des pannes, mesures des sessions. | Control Hub |
| *huron-dev.com | Microservices de Webex Calling comme les services de bascule, la commande de numéros de téléphone et les services d’affectation. | Control Hub |
| *.sipflash.com | Services de gestion des périphériques. Mises à niveau du micrologiciel et intégration sécurisée. | Applications Webex |
*.google.com *.googleapis.com | Notifications aux applications Webex sur les périphériques mobiles (exemple : nouveau message, lorsque l'appel est pris) Pour les sous-réseaux IP, reportez-vous à ces liens | Application Webex |
Sous-réseaux IP pour les services Webex Calling
- 23.89.18.0/23
- 163.129.16.0/21
- 150,253,150,0/23
- 144.196.224.0/21
- 144.196.16.0/24
Ports utilisés par Webex Calling
| Objet de la connexion | Adresses sources | Ports source | Protocole | Adresses de destination | Ports de destination | Notes |
|---|---|---|---|---|---|---|
| Signalisation d’appel vers Webex Calling (SIP TLS) | Passerelle locale externe (NIC) | 8000 À 65535 | TCP | Reportez-vous à Sous-réseaux IP pour les services d’appel Webex. | 5062, 8934 | Ces IPs/ports sont nécessaires pour la signalisation d’appel sortant SIP-TLS des passerelles, périphériques et applications locales (Source) vers Webex Calling Cloud (Destination). Port 5062 (requis pour la jonction basée sur un certificat). Et le port 8934 (requis pour la jonction basée sur l'enregistrement |
| Périphériques | 5060 À 5080 | 8934 | ||||
| Applications | Ephémère (dépend du système d’exploitation) | |||||
| Média d’appel vers Webex Calling (STUN, SRTP | Passerelle locale NIC externe | 8000 À 48198†* | UDP | Reportez-vous à Sous-réseaux IP pour les services d’appel Webex. | 5004, 9000 (ports STUN) 8500–8700,19560–65535 (SRTP sur UDP) | Ces adresses IP/ports sont utilisés pour le média d’appel SRTP sortant des passerelles, périphériques et applications locaux (Source) vers Webex Calling Cloud (Destination). Pour les appels au sein de l’organisation où la négociation STUN, ICE est réussie, le relais média dans le Cloud est supprimé comme chemin de communication. Dans de tels cas, le flux média est directement entre les applications/périphériques de l’utilisateur. Par exemple : Si l'optimisation des médias est réussie, les applications envoient des médias directement entre eux sur des plages de ports comprises entre 8500 et 9700 et les périphériques envoient des médias directement entre eux sur des plages de ports comprises entre 19560 et 19660. Pour certaines topologies de réseau où des pare-feu sont utilisés dans les locaux d'un client, autorisez l'accès aux plages de ports source et de destination mentionnées à l'intérieur de votre réseau pour que le média circule. Exemple : Pour les applications, autorisez la plage de ports source et de destination 8500–8700. |
| Périphériques | 19560 À 19660 | |||||
| Applications | 8500 À 8700 | |||||
| Signalisation d’appel vers la passerelle RTCP (SIP TLS) | NIC interne de la passerelle locale | 8000 À 65535 | TCP | Votre RTCP ITSP GW ou Unified CM | Dépend de l’option RTCP (par exemple, typiquement 5060 ou 5061 pour Unified CM) | |
| Média d’appel vers la passerelle PSTN (SRTP) | NIC interne de la passerelle locale | 8000 À 48198†* | UDP | Votre RTCP ITSP GW ou Unified CM | Dépend de l’option RTCP (par exemple, généralement 5060 ou 5061 pour Unified CM) | |
| Configuration du dispositif et gestion du firmware (périphériques Cisco) | Périphériques Webex Calling | Éphémère | TCP | 3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 | Obligatoire pour les raisons suivantes :
|
| Configuration des applications | Applications Webex Calling (appel) | Éphémère | TCP | 62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Utilisé pour l'authentification Idbroker, les services de configuration d'application pour les clients, accès au Web basé sur un navigateur pour l'auto-assistance ET l'accès aux interfaces administratives. |
| Synchronisation de l’heure du périphérique (NTP) | Périphériques Webex Calling | 51494 | UDP | Reportez-vous à Sous-réseaux IP pour les services d’appel Webex. | 123 | Ces adresses IP sont nécessaires pour la synchronisation temporelle des périphériques (téléphones MPP, ATA et SPA ATA). |
| Résolution du nom du périphérique et résolution du nom de l’application | Périphériques Webex Calling | Éphémère | UDP et TCP | Défini par l’organisateur | 53 | Utilisé pour les recherches DNS pour découvrir les adresses IP des services Webex Calling dans le cloud. Même si les recherches DNS typiques sont effectuées sur UDP, certaines peuvent nécessiter TCP, si les réponses aux requêtes ne peuvent pas l'adapter dans les paquets UDP. |
| Synchronisation de l’heure des applications | Applications Webex Calling (appel) | 123 | UPD | Défini par l’organisateur | 123 | |
| Cscan | Outil de pré-qualification de l’état de préparation du réseau basé sur le Web pour Webex Calling | Éphémère | UPD | Reportez-vous à Sous-réseaux IP pour les services d’appel Webex. | 19569 À 19760 | Outil de préqualification de préparation du réseau basé sur le Web pour Webex Calling. Rendez-vous sur cscan.webex.com pour plus d’informations. |
| Objet de la connexion | Adresses sources | Ports source | Protocole | Adresses de destination | Ports de destination | Notes |
|---|---|---|---|---|---|---|
| Notifications push Services APNS et FCM | Applications Webex Calling (appel) | Éphémère | TCP | Reportez-vous aux sous-réseaux IP mentionnés sous les liens | 443, 2197, 5228, 5229, 5230, 5223 | Notifications aux applications Webex sur les périphériques mobiles (exemple : Lorsque vous recevez un nouveau message ou lorsque vous répondez à un appel) |
|
|
