Référence rapide des ports de réunion et des plages IP

Les plages IP suivantes sont utilisées par les sites déployés sur le cluster de réunions FedRAMP. Pour ce document, ces plages sont appelées les « plages IP Webex » :

  • 150.253.150.0/23 (150.253.150.0 à 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 à 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 à 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 à 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 à 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 à 170.133.159.255)
  • 21.182.160.0/207 (207.182.160.0 vers 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 vers 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 vers 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 à 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 vers 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 vers 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 vers 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 vers 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 vers 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 vers 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 vers 216.151.139.254)

Services déployés

Les services déployés sur cette plage IP comprennent, sans s’y limiter, les suivants :

  • Le site Web de la réunion (par exemple, customersite.webex.com)
  • Serveurs de données de réunion
  • Serveurs multimédia pour l’audio de l’ordinateur (VoIP vidéo) et de la webcam
  • Services XML/API, y compris la programmation des Outils de productivité
  • Serveurs d’enregistrement en réseau (NBR)
  • Services secondaires lorsque les services principaux sont en maintenance ou rencontrent des difficultés techniques

Les UR suivantes sont utilisées pour vérifier la « liste de révocation des certificats » pour nos certificats de sécurité. Les listes de révocation des certificats pour garantir qu’aucun certificat compromise ne peut être utilisé pour intercepter le trafic Webex sécurisé. Ce trafic se produit sur le port TCP 80 :

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (certificats IdenTrust)

Les agents utilisateur suivants seront transmis par Webex par le processus utiltp dans Webex et doivent être autorisés par le pare-feu d’une agence :

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping dans le cadre des URL autorisées. Il est utilisé dans le cadre du processus d’activation du périphérique et « le périphérique l’utilise avant de savoir qu’il s’agit d’un périphérique FedRAMP. L’appareil lui envoie un code d’activation sans informations FedRAMP, le service voit qu’il s’agit d’un code d’activation FedRAMP, puis il les redirige. »

Tout le trafic FedRAMP nécessite un chiffrement TLS 1.2 et un chiffrement mTLS 1.2 pour les périphériques enregistrés SIP sur site.

Ports utilisés par les clients Webex Meetings (y compris les périphériques enregistrés sur le Cloud)

ProtocoleNuméro(s) de port(s)DirectionType de traficPlages d’IPCommentaires
TCP80/443Appels sortants vers WebexHTTP, HTTPSWebex et AWS (Il n’est pas recommandé de filtrer par IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Ceci est utilisé pour servir le contenu statique et les fichiers)
  • *.wbx2.com

Webex recommande un filtrage par URL. SI Filtrage par adresse IP, vous devez autoriser les plages IP AWS GovCloud, Cloudfront et Webex.

TCP/UDP53Sortants vers le DNS localServices de noms de domaine (DNS)Serveur DNS uniquementUtilisé pour les recherches DNS afin de découvrir les adresses IP des serveurs Webex dans le Cloud. Même si les recherches DNS habituelles sont effectuées par UDP, certaines peuvent nécessiter TCP, si les réponses aux requêtes ne peuvent pas tenir dans les paquets UDP.
UDP9000, 5004Sortie vers WebexMédia primaire du client Webex (VoIP et vidéo RTP)WebexLe port média du client Webex est utilisé pour échanger l’audio de l’ordinateur, la vidéo de la webcam et les diffusions partage de contenu diffusions. L’ouverture de ce port est nécessaire pour garantir la meilleure expérience média possible.
TCP5004, 443, 80Sortie vers WebexAutre média du client Webex (VoIP et vidéo RTP)WebexPorts de retour pour la connectivité média lorsque le port UDP 9000 n’est pas ouvert dans le pare-feu
UDP/TCP

Audio : de 52000 à 52049

Vidéo&'A0;: 52100 à 52199

Entrantes vers votre réseauMédia du client Webex (Voip et vidéo)Revenir de AWS et Webex

Webex communique sur le port de destination reçu lorsque le client établit sa connexion. Un pare-feu doit être configuré pour autoriser le passage de ces connexions de retour.

Cette option est activée par défaut.
TCP/UDPPorts éphémères spécifiques au SEEntrantes vers votre réseauRetour du trafic de WebexRevenir de AWS et Webex

Webex communique sur le port de destination reçu lorsque le client établit sa connexion. Un pare-feu doit être configuré pour autoriser le passage de ces connexions de retour.

Ceci est généralement automatiquement ouvert dans un pare-feu à l'état, mais il est répertorié ici pour être complet.

Pour les clients activant Webex for Government qui ne peuvent pas autoriser le filtrage basé sur les URL pour HTTPS, vous devez autoriser la connectivité avec AWS Gov Cloud West (région : us–gov–west–1) et Cloud Front (service: CLOUDFRONT). Veuillez consulter la documentation AWS pour identifier les plages IP pour la région AWS Gov Cloud West et AWS Cloud Front. La documentation AWS est disponible à l’adresse https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex recommande fortement le filtrage par URL dans la mesure du possible.

Cloudfront est utilisé pour le contenu statique délivré via le Content Delivery Network afin de donner aux clients la meilleure performance à travers le pays.

Ports utilisés par les périphériques de collaboration vidéo Cisco enregistrés sur site

Voir également le Guide de déploiement pour entreprise de Cisco Webex Meetings pour les réunions avec périphériques vidéo

ProtocoleNuméros de portDirectionType d’accèsPlages d’IPCommentaires
TCP5061—5070Appels sortants vers WebexSignalisation SIPWebexL’edge du média Webex écoute sur ces ports
TCP5061, 5065Entrants vers votre réseauSignalisation SIPWebexTrafic de signalisation SIP entrant à partir du Cloud Webex
TCP5061Sortie vers WebexSignalisation SIP à partir des périphériques enregistrés sur le CloudAwsAppels entrants de l’application Webex 1:1 Calling et des périphériques enregistrés dans le Cloud vers votre URI SIP enregistrée sur site. *5061 est le port par défaut. Webex prend en charge les ports 5061-5070 à utiliser par les clients, tels que définis dans leur enregistrement SIP SRV
TCP/UDP1719, 1720, 15000—19999Sortie vers WebexH.323 LSWebexSi votre point de terminaison nécessite une communication gatekeeper, ouvrez également le port 1719, qui inclut Lifesize
TCP/UDPPorts éphémères, 36000-59999EntréePorts médiaWebexSi vous utilisez un Cisco Expressway, les plages de médias doivent être définies sur 36000-59999. Si vous utilisez un terminal tiers ou un contrôle d'appel, ils doivent être configurés pour utiliser cette plage.
TCP443EntrantProximité des périphériques sur siteRéseau localL’application Webex ou l’application de bureau Webex doit disposer d’un chemin d’acheminement IPv4 entre elle-même et le périphérique vidéo utilisant HTTPS

Pour les clients activant Webex pour le Gouvernement recevant des appels entrants à partir de l’application Webex Appel 1 à 1 et périphériques enregistrés sur le Cloud vers votre URI SIP enregistrée sur site. Vous devez également autoriser la connectivité avec AWS Gov Cloud West (région : us–gov–west–1). Veuillez consulter la documentation AWS pour identifier les plages IP pour la région AWS Gov Cloud West. La documentation AWS est disponible à l' https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Ports utilisés par l’audio Edge

Ceci n’est requis que si vous exploitez l’audio Edge.

ProtocoleNuméros de portDirectionType d’accèsPlages d’IPCommentaires
TCP5061—5062Entrants vers votre réseauSignalisation SIPWebexSignalisation SIP entrante pour l’audio Edge
TCP5061—5065Appels sortants vers WebexSignalisation SIPWebexSignalisation SIP sortante pour l’audio Edge
TCP/UDPPorts éphémères, 8000-59999Entrants vers votre réseauPorts médiaWebexSur un pare-feu d’entreprise, les ports doivent être ouverts pour le trafic entrant vers Expressway avec une plage de ports allant de 8000 à 59999

Configurez mTLS en utilisant les options suivantes :

Domaines et URL pour les services Webex Calling

Un * affiché au début d'une URL (par exemple, *.webex.com) indique que les services du domaine de premier niveau et tous les sous-domaines sont accessibles.

Tableau 3. Services Webex
Domaine/URLDescriptionApplications et périphériques Webex utilisant ces domaines/URL

*.webex.com

*.cisco.com

*.webexgov.us

Principaux services Webex Calling et Webex Aware

Mise à disposition de l’identité

Stockage des identités

Authentification

Services OAuth

Intégration des périphériques

Lorsqu'un téléphone se connecte à un réseau pour la première fois ou après une réinitialisation d'usine sans options DHCP définies, il contacte un serveur d'activation de périphérique pour une mise à disposition sans contact. Les nouveaux téléphones utilisent activate.cisco.com et les téléphones dont la version du micrologiciel est antérieure à 11.2(1), continuent à utiliser webapps.cisco.com pour la mise à disposition.

Téléchargez les mises à jour du micrologiciel du périphérique et des paramètres locaux à partir de binaries.webex.com.

Tous
*.wbx2.com et *.ciscospark.comUtilisé pour la sensibilisation au nuage, CSDM, WDM, mercure, etc. Ces services sont nécessaires pour que les applications et les périphériques puissent contacter les services Webex Calling et Webex Aware pendant et après l’intégration.Tous
*.webexapis.com

Microservices Webex qui gèrent vos applications et vos périphériques.

Service de photo de profil

Service de tableau blanc

Service de proximité

Service Presence

Service d’enregistrement

Service de calendrier

Service de recherche

Tous
*.webexcontent.com

Service de messagerie Webex lié au stockage général de fichiers, notamment :

Fichiers utilisateurs

Fichiers transcodés

Images

Captures d’écran

Contenu du tableau blanc

Journaux du client et du périphérique

Images de profil

Logos de marque

Fichiers de journalisation

Exportation en masse de fichiers CSV et importation de fichiers (Control Hub)

Services de messagerie de l’application Webex.
Stockage de fichiers via webexcontent.com remplacé par clouddrive.com en octobre 2019
Tableau 4. Services supplémentaires liés à Webex (domaines tiers)
Domaine/URLDescriptionApplications et périphériques Webex utilisant ces domaines/URL

*.appdynamics.com

*.eum-appdynamics.com

Suivi des performances, capture des erreurs et des pannes, mesures des sessions.Control Hub
*huron-dev.comMicroservices de Webex Calling comme les services de bascule, la commande de numéros de téléphone et les services d’affectation.Control Hub
*.sipflash.comServices de gestion des périphériques. Mises à niveau du micrologiciel et objectifs d’intégration sécurisés.Applications Webex

*.google.com

*.googleapis.com

Notifications aux applications Webex sur les périphériques mobiles (Exemple : nouveau message, lorsque l'appel est pris)

Pour les sous-réseaux IP, reportez-vous à ces liens

Service Google Firebase Cloud Messaging (FCM)

Apple Push Notification Service (APNS)/Service de notification Apple Push

Webex App

Sous-réseaux IP pour les services Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Ports utilisés par Webex Calling

Tableau 5. Services Webex Calling et Webex Aware
Objet de la connexionAdresses sourcesPorts sourceHTTPS et WSS pour la signalisation et la messagerie.Adresses de destinationPorts de destinationNotes
Signalisation des appels à Webex Calling (SIP TLS)Passerelle locale externe (NIC)8000—65535TCPReportez-vous à Sous-réseaux IP pour les services d’appel Webex.5062, 8934

Ces IPs/ports sont nécessaires pour la signalisation d’appel sortant SIP-TLS des passerelles, périphériques et applications locales (Source) vers Webex Calling Cloud (Destination).

Port 5062 (requis pour le trunk basé sur un certificat). Et port 8934 (requis pour le trunk basé sur l’enregistrement)

Appareils5060—50808934
ApplicationsEphémère (dépend du système d’exploitation)
Média d’appel à Webex Calling (SRTP)Passerelle locale NIC externe8000—48198*UDPReportez-vous à Sous-réseaux IP pour les services d’appel Webex.

8500 à 8700, 19560 à 65535 (SRTP sur UDP)

L’optimisation des médias basée sur STUN, ICE-Lite n’est pas prise en charge par Webex for Government.

Ces IP/ports sont utilisés pour les médias d’appel SRTP sortants des passerelles, périphériques et applications locaux (source) vers le Cloud d’appel Webex (destination).

Pour certaines topologies de réseau où des pare-feu sont utilisés dans les locaux d'un client, autorisez l'accès aux plages de ports source et de destination mentionnées à l'intérieur de votre réseau pour que le média circule.

Exemple : Pour les applications, autorisez la plage de ports source et destination 8500-8700.

Appareils19560—19660
Applications8500—8700
Signalisation d’appel vers la passerelle RTCP (SIP TLS)NIC interne de la passerelle locale8000—65535TCPVotre RTCP ITSP GW ou Unified CMDépend de l’option RTCP (par exemple, typiquement 5060 ou 5061 pour Unified CM)
Média d’appel vers la passerelle PSTN (SRTP)NIC interne de la passerelle locale8000—48198*UDPVotre RTCP ITSP GW ou Unified CMDépend de l’option RTCP (par exemple, généralement 5060 ou 5061 pour Unified CM)
Configuration du dispositif et gestion du firmware (périphériques Cisco)Périphériques Webex CallingÉphémèreTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Requis pour les raisons suivantes :

  1. Migration des téléphones d’entreprise (Cisco Unified CM) vers Webex Calling. Voir upgrade.cisco.com pour plus d’informations. cloudupgrader.webex.com utilise les ports : 6970,443 pour le processus de migration du firmware.

  2. Mises à niveau du micrologiciel et intégration sécurisée des périphériques (MPP et téléphones de salle ou de bureau) à l'aide du code d'activation à 16 chiffres (GDS).

  3. Pour CDA / EDOS - Mise à disposition basée sur l'adresse MAC. Utilisé par les périphériques (téléphones MPP, ATAs et SPA ATAs) avec un firmware plus récent.

  4. Lorsqu'un téléphone se connecte à un réseau pour la première fois ou après une réinitialisation d'usine, sans que les options DHCP soient définies, il contacte un serveur d'activation de périphérique pour une mise à disposition sans contact. Les nouveaux téléphones utilisent activate.cisco.com » au lieu de « webapps.cisco.com » pour le provisionnement. Les téléphones dotés d'un micrologiciel version antérieure à la 11.2(1) continuent d'utiliser « webapps.cisco.com ». Il est recommandé d'autoriser tous ces sous-réseaux IP.

Configuration des applicationsApplications Webex CallingÉphémèreTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Utilisé pour l’Authentification Idbroker, les services de configuration d’applications pour les clients, l’accès Web basé sur un navigateur pour l’accès en libre-service ET l’accès aux interfaces Administratives.
Synchronisation de l’heure du périphérique (NTP)Périphériques Webex Calling51494UDPReportez-vous à Sous-réseaux IP pour les services d’appel Webex.123Ces adresses IP sont nécessaires pour la synchronisation temporelle des périphériques (téléphones MPP, ATA et SPA ATA).
Résolution du nom du périphérique et résolution du nom de l’applicationPériphériques Webex CallingÉphémèreUDP et TCPDéfini par l’organisateur53

Utilisé pour les recherches DNS pour découvrir les adresses IP des services Webex Calling dans le Cloud.

Même si les recherches DNS typiques sont effectuées sur UDP, certaines peuvent nécessiter le protocole TCP, si les réponses à la requête ne peuvent pas l’intégrer dans les paquets UDP.
Synchronisation de l’heure des applicationsApplications Webex Calling123UpdDéfini par l’organisateur123
CscanOutil de préqualification de la préparation du réseau basé sur le Web pour Webex CallingÉphémèreUpdReportez-vous à Sous-réseaux IP pour les services d’appel Webex.19569—19760Outil de préqualification de la préparation du réseau basé sur le Web pour Webex Calling. Rendez-vous sur cscan.webex.com pour plus d’informations.
Tableau 6. Services Webex Calling et Webex Aware supplémentaires (tiers)
Objet de la connexionAdresses sourcesPorts sourceHTTPS et WSS pour la signalisation et la messagerie.Adresses de destinationPorts de destinationNotes
Notifications push services APNS et FCMApplications Webex CallingÉphémèreTCP

Voir les sous-réseaux IP mentionnés sous les liens

Service de notification Push Apple (APNS)

Google-Firebase Cloud Messaging (FCM)

443, 2197, 5228, 5229, 5230, 5223Notifications aux applications Webex sur les périphériques mobiles (Exemple : Lorsque vous recevez un nouveau message ou lorsqu'un appel reçoit une réponse)
  • *La plage de ports média CUBE est configurable avec la plage de ports rtp.
  • Si une adresse de serveur proxy est configurée pour vos applications et vos périphériques, le trafic de signalisation est envoyé au proxy. Média transporté SRTP sur UDP n'est pas envoyé au serveur proxy. Il doit plutôt s’écouler directement vers votre pare-feu.
  • Si vous utilisez les services NTP et DNS au sein de votre réseau d'entreprise, ouvrez les ports 53 et 123 via votre pare-feu.