Référence rapide des ports de réunions et des plages IP

Les plages IP suivantes sont utilisées par les sites déployés sur le cluster de réunions FedRAMP. Pour ce document, ces plages sont appelées « plages IP Webex » :

  • 150.253.150.0/23 (150.253.150.0 à 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 à 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 à 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 à 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 à 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 à 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 à 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 à 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 à 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 à 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 à 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 à 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 à 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 à 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 à 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 à 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 à 216.151.139.254)

Services déployés

Les services déployés sur cette plage IP comprennent, sans s’y limiter, les éléments suivants :

  • Le site Web de la réunion (par ex., customersite.webex.com)
  • Serveurs de données de réunion
  • Serveurs multimédia pour l’audio de l’ordinateur (VoIP) et la vidéo de la webcam
  • Services XML/API, y compris la programmation des Outils de productivité
  • Serveurs d'enregistrement en réseau (NBR)
  • Services secondaires lorsque les services primaires sont en maintenance ou rencontrent des difficultés techniques

Les URI suivantes sont utilisées pour vérifier la « Liste de révocation de certificats » pour nos certificats de sécurité. Les listes de révocation de certificats permettent de s'assurer qu'aucun certificat compromis ne peut être utilisé pour intercepter le trafic Webex sécurisé. Ce trafic se produit sur le port TCP 80 :

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (certificats IdenTrust)

 

Les UserAgents suivants seront transmis par Webex par le processus utiltp dans Webex et doivent être autorisés via le pare-feu d’une agence :

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping comme faisant partie des URL autorisées. Il est utilisé dans le cadre du processus d'activation de l'appareil, et "l'appareil l'utilise avant de savoir qu'il s'agit d'un appareil FedRAMP. L’appareil lui envoie un code d’activation sans aucune information FedRAMP, le service voit qu’il s’agit d’un code d’activation FedRAMP, puis il les redirige. »

Tout le trafic FedRAMP nécessite le chiffrement TLS 1.2 et le chiffrement mTLS 1.2 pour les périphériques enregistrés sur site SIP.

Ports utilisés par les clients Webex Meetings (y compris les périphériques enregistrés sur le Cloud)

ProtocoleNuméro(s) de portDirectionType de traficPlages d’IPCommentaires
TCP80/443Sortie vers WebexHTTP, HTTPSWebex et AWS (Pas recommandé pour filtrer par IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Ceci est utilisé pour servir le contenu statique et les fichiers)
  • *.wbx2.com

Webex recommande de filtrer par URL. EN CAS de Filtrage par adresse IP, vous devez autoriser les plages IP AWS GovCloud, Cloudfront et Webex.

TCP/UDP53Sortant vers le DNS localServices de noms de domaine (DNS)Serveur DNS uniquementUtilisé pour les recherches DNS afin de découvrir les adresses IP des serveurs Webex dans le Cloud. Même si les recherches DNS habituelles sont effectuées par UDP, certaines peuvent nécessiter TCP, si les réponses aux requêtes ne peuvent pas tenir dans les paquets UDP.
UCP9000, 5004Sortie vers WebexMédia primaire du client Webex (VoIP et vidéo RTP)WebexLe port média du client Webex est utilisé pour échanger des flux audio d’ordinateur, des vidéos de webcams et des flux de partage de contenu. L’ouverture de ce port est nécessaire pour garantir la meilleure expérience média possible.
TCP5004, 443, 80Sortie vers WebexAutre média du client Webex (VoIP et vidéo RTP)WebexPorts de secours pour la connectivité média lorsque le port UDP 9000 n’est pas ouvert dans le pare-feu.
UDP/TCP

Audio : 52000 à 52049

Vidéo : 52100 à 52199

Entrant sur votre réseauMédia du client Webex (Voip et vidéo)Retour d’AWS et Webex

Webex communique sur le port de destination reçu lorsque le client établit sa connexion. Un pare-feu doit être configuré pour autoriser le passage de ces connexions de retour.


 
Cette option est activée par défaut.
TCP/UDPPorts éphémères spécifiques au système d’exploitationEntrant sur votre réseauTrafic de retour de WebexRetour d’AWS et Webex

Webex communique sur le port de destination reçu lorsque le client établit sa connexion. Un pare-feu doit être configuré pour autoriser le passage de ces connexions de retour.


 
Ceci est généralement automatiquement ouvert dans un pare-feu à état, mais il est listé ici pour être complet.

Pour les clients qui activent Webex for Government et qui ne peuvent pas autoriser le filtrage basé sur les URL pour HTTPS, vous devez autoriser la connectivité avec AWS Gov Cloud West (région : us‐gov‐west‐1) et Cloud Front (service : FACE AVANT). Veuillez consulter la documentation AWS pour identifier les plages IP pour la région AWS Gov Cloud West et AWS Cloud Front. La documentation AWS est disponible sur https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex recommande fortement de filtrer par URL dans la mesure du possible.

Cloudfront est utilisé pour le contenu statique fourni via Content Delivery Network afin d’offrir aux clients les meilleures performances dans tout le pays.

Ports utilisés par les périphériques de collaboration vidéo Cisco enregistrés sur site

Voir également le Guide de déploiement en entreprise de Cisco Webex Meetings pour les réunions avec périphériques vidéo

ProtocoleNuméros de portDirectionType d’accèsPlages d’IPCommentaires
TCP5061 À 5070Sortie vers WebexSignalisation SIPWebexL’edge média Webex écoute sur ces ports
TCP5061, 5065Entrant sur votre réseauSignalisation SIPWebexTrafic de signalisation SIP entrant à partir du Cloud Webex
TCP5061Sortie vers WebexSignalisation SIP à partir des périphériques enregistrés sur le CloudAWSAppels entrants à partir des périphériques Webex App 1 à 1 Calling et enregistrés sur le Cloud vers votre URI SIP enregistré sur site. *5061 est le port par défaut. Webex prend en charge les ports 5061 à 5070 à utiliser par les clients comme défini dans leur enregistrement SIP SRV
TCP/UDP1719, 1720, 15000 À 19999Sortie vers WebexH.323 LSWebexSi votre point de terminaison nécessite une communication de gatekeeper, ouvrez également le port 1719, qui inclut Lifesize
TCP/UDPPorts éphémères, 36000 à 59999EntrantPorts médiaWebexSi vous utilisez une passerelle Cisco Expressway, les plages média doivent être configurées sur 36000-59999. Si vous utilisez un terminal tiers ou le contrôle d’appel, ils doivent être configurés pour utiliser cette plage.
TCP443EntrantProximité du périphérique sur siteRéseau localL’application Webex ou l’application de bureau Webex doit avoir un chemin d’acheminement IPv4 entre elle-même et le périphérique vidéo en utilisant HTTPS

Pour les clients activant Webex for Government recevant des appels entrants à partir de périphériques enregistrés dans l’application Webex 1:1 Calling et sur le Cloud vers votre URI SIP enregistré sur site. Vous devez également autoriser la connectivité avec AWS Gov Cloud West (région : us‐gov‐west‐1). Veuillez consulter la documentation AWS pour identifier les plages IP pour la région AWS Gov Cloud West. La documentation AWS est disponible sur https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Ports utilisés par l’audio Edge

Ceci n’est requis que si vous tirez parti de l’audio Edge.

ProtocoleNuméros de portDirectionType d’accèsPlages d’IPCommentaires
TCP5061 À 5062Entrant sur votre réseauSignalisation SIPWebexSignalisation SIP entrante pour l’audio Edge
TCP5061 À 5065Sortie vers WebexSignalisation SIPWebexSignalisation SIP sortante pour l’audio Edge
TCP/UDPPorts éphémères, 8000 à 59999Entrant sur votre réseauPorts médiaWebexSur un pare-feu d’entreprise, les ports doivent être ouverts pour le trafic entrant vers l’Expressway avec une plage de ports allant de 8000 à 59999

Configurez mTLS en utilisant les options suivantes :

Domaines et URL pour les services Webex Calling

Un * affiché au début d'une URL (par exemple, *.webex.com) indique que les services du domaine de premier niveau et tous les sous-domaines sont accessibles.

Tableau 3. Services Webex
Domaine/URLDescriptionApplications et périphériques Webex utilisant ces domaines/URL

*.webex.com

*.cisco.com

*.webexgov.us

Webex Calling et Webex Aware de base

Provisionnement de l’identité

Stockage des identités

Identification

Services OAuth

Intégration du périphérique

Lorsqu'un téléphone se connecte à un réseau pour la première fois ou après une réinitialisation d'usine sans aucune option DHCP définie, il contacte un serveur d'activation de périphérique pour un provisionnement sans contact. Les nouveaux téléphones utilisent activate.cisco.com et les téléphones avec une version de micrologiciel antérieure à 11.2(1), continuent à utiliser webapps.cisco.com pour le provisionnement.

Téléchargez le micrologiciel du périphérique et les mises à jour des paramètres régionaux à partir de binaires.webex.com .

Tous
*.wbx2.com et *.ciscospark.comUtilisé pour la sensibilisation au cloud, CSDM, WDM, mercure, etc. Ces services sont nécessaires pour que les applications et les périphériques contactent les Webex Calling et Webex Aware pendant et après l’intégration.Tous
*.webexapis.com

Microservices Webex qui gèrent vos applications et vos périphériques.

Service de photo de profil

Service de tableau blanc

Service de proximité

Service de présence

Service d’inscription

Service de calendrier

Service de recherche

Tous
*.webexcontent.com

Service de messagerie Webex lié au stockage général des fichiers, notamment :

Fichiers utilisateur

Fichiers transcodés

Images

Captures d'écran

Contenu du tableau blanc

Journaux des clients et des périphériques

Images de profil

Logos de marque

Fichiers journaux

Fichiers d'exportation et d'importation de fichiers CSV en masse (Control Hub)

Services de messagerie de l’application Webex.

 
Stockage de fichiers à l’aide de webexcontent.com remplacé par clouddrive.com en octobre 2019
Tableau 4. Services supplémentaires liés à Webex (domaines tiers)
Domaine/URLDescriptionApplications et périphériques Webex utilisant ces domaines/URL

*.appdynamics.com

*.eum-appdynamics.com

Suivi des performances, capture des erreurs et des pannes, mesures des sessions.Control Hub
*huron-dev.comMicroservices de Webex Calling comme les services de bascule, la commande de numéros de téléphone et les services d’affectation.Control Hub
*.sipflash.comServices de gestion des périphériques. Mises à niveau du micrologiciel et intégration sécurisée.Applications Webex

*.google.com

*.googleapis.com

Notifications aux applications Webex sur les périphériques mobiles (exemple : nouveau message, lorsque l'appel est pris)

Pour les sous-réseaux IP, reportez-vous à ces liens

Service de messagerie Google Firebase Cloud (FCM)

Service de notification Push Apple (APNS)

Application Webex

Sous-réseaux IP pour les services Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150,253,150,0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Ports utilisés par Webex Calling

Tableau 5. Services Webex Calling et Webex Aware
Objet de la connexionAdresses sourcesPorts sourceProtocoleAdresses de destinationPorts de destinationNotes
Signalisation d’appel vers Webex Calling (SIP TLS)Passerelle locale externe (NIC)8000 À 65535TCPReportez-vous à Sous-réseaux IP pour les services d’appel Webex.5062, 8934

Ces IPs/ports sont nécessaires pour la signalisation d’appel sortant SIP-TLS des passerelles, périphériques et applications locales (Source) vers Webex Calling Cloud (Destination).

Port 5062 (requis pour la jonction basée sur un certificat). Et le port 8934 (requis pour la jonction basée sur l'enregistrement

Périphériques5060 À 50808934
ApplicationsEphémère (dépend du système d’exploitation)
Média d’appel vers Webex Calling (SRTP)Passerelle locale NIC externe8000 À 48198*UDPReportez-vous à Sous-réseaux IP pour les services d’appel Webex.

8500–8700,19560–65535 (SRTP sur UDP)

L’optimisation des médias basée sur STUN, ICE-Lite n’est pas prise en charge pour Webex for Government.

Ces adresses IP/ports sont utilisés pour le média d’appel SRTP sortant des passerelles, périphériques et applications locaux (Source) vers Webex Calling Cloud (Destination).

Pour certaines topologies de réseau où des pare-feu sont utilisés dans les locaux d'un client, autorisez l'accès aux plages de ports source et de destination mentionnées à l'intérieur de votre réseau pour que le média circule.

Exemple : Pour les applications, autorisez la plage de ports source et de destination 8500–8700.

Périphériques19560 À 19660
Applications8500 À 8700
Signalisation d’appel vers la passerelle RTCP (SIP TLS)NIC interne de la passerelle locale8000 À 65535TCPVotre RTCP ITSP GW ou Unified CMDépend de l’option RTCP (par exemple, typiquement 5060 ou 5061 pour Unified CM)
Média d’appel vers la passerelle PSTN (SRTP)NIC interne de la passerelle locale8000 À 48198*UDPVotre RTCP ITSP GW ou Unified CMDépend de l’option RTCP (par exemple, généralement 5060 ou 5061 pour Unified CM)
Configuration du dispositif et gestion du firmware (périphériques Cisco)Périphériques Webex CallingÉphémèreTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Obligatoire pour les raisons suivantes :

  1. Migration des téléphones d'entreprise (Cisco Unified CM) vers Webex Calling. Voir upgrade.cisco.com pour plus d’informations. Le cloudupgrader.webex.com utilise les ports : 6970.443 pour le processus de migration du micrologiciel.

  2. Mises à niveau du micrologiciel et intégration sécurisée des périphériques (MPP et téléphones de salle ou de bureau) à l'aide du code d'activation (GDS) à 16 chiffres.

  3. Pour CDA / EDOS - Provisionnement basé sur adresse MAC. Utilisé par les périphériques (téléphones MPP, ATAs et SPA ATAs) avec un firmware plus récent.

  4. Lorsqu'un téléphone se connecte à un réseau pour la première fois ou après une réinitialisation d'usine, sans les options DHCP définies, il contacte un serveur d'activation de périphérique pour le provisionnement sans contact. Les nouveaux téléphones utilisent activate.cisco.com » au lieu de « webapps.cisco.com » pour le provisionnement. Les téléphones dont le micrologiciel est sorti avant la version 11.2(1) continuent à utiliser « webapps.cisco.com ». Il est recommandé d'autoriser tous ces sous-réseaux IP.

Configuration des applicationsApplications Webex Calling (appel)ÉphémèreTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Utilisé pour l'authentification Idbroker, les services de configuration d'application pour les clients, accès au Web basé sur un navigateur pour l'auto-assistance ET l'accès aux interfaces administratives.
Synchronisation de l’heure du périphérique (NTP)Périphériques Webex Calling51494UDPReportez-vous à Sous-réseaux IP pour les services d’appel Webex.123Ces adresses IP sont nécessaires pour la synchronisation temporelle des périphériques (téléphones MPP, ATA et SPA ATA).
Résolution du nom du périphérique et résolution du nom de l’applicationPériphériques Webex CallingÉphémèreUDP et TCPDéfini par l’organisateur53

Utilisé pour les recherches DNS pour découvrir les adresses IP des services Webex Calling dans le cloud.

Même si les recherches DNS typiques sont effectuées sur UDP, certaines peuvent nécessiter TCP, si les réponses aux requêtes ne peuvent pas l'adapter dans les paquets UDP.
Synchronisation de l’heure des applicationsApplications Webex Calling (appel)123UPDDéfini par l’organisateur123
CscanOutil de pré-qualification de l’état de préparation du réseau basé sur le Web pour Webex CallingÉphémèreUPDReportez-vous à Sous-réseaux IP pour les services d’appel Webex.19569 À 19760Outil de préqualification de préparation du réseau basé sur le Web pour Webex Calling. Rendez-vous sur cscan.webex.com pour plus d’informations.
Tableau 6. Services supplémentaires Webex Calling et Webex Aware (tiers)
Objet de la connexionAdresses sourcesPorts sourceProtocoleAdresses de destinationPorts de destinationNotes
Notifications push Services APNS et FCMApplications Webex Calling (appel)ÉphémèreTCP

Reportez-vous aux sous-réseaux IP mentionnés sous les liens

Service de notification Push Apple (APNS)

Google-Firebase Cloud Messaging (FCM)

443, 2197, 5228, 5229, 5230, 5223Notifications aux applications Webex sur les périphériques mobiles (exemple : Lorsque vous recevez un nouveau message ou lorsque vous répondez à un appel)

 
  • ?? * La plage de ports média CUBE est configurable avec plage de ports rtp .
  • Si une adresse de serveur proxy est configurée pour vos applications et périphériques, le trafic de signalisation est envoyé au proxy. Le média transporté SRTP sur UDP n'est pas envoyé au serveur proxy. À la place, il doit être acheminé directement vers votre pare-feu.
  • Si vous utilisez les services NTP et DNS au sein de votre réseau d'entreprise, ouvrez les ports 53 et 123 via votre pare-feu.