דרישות רשת עבור Webex for Government ‏(FedRAMP)

Webex Meetings
Webex Calling

יציאות פגישות וטווחי IP לעיון מהיר

טווחי ה-IP הבאים מנוצלים על-ידי אתרים הפרוסים באשכול הפגישה FedRAMP. עבור מסמך זה, טווחים אלה מכונים 'טווחי IP של Webex':

150.253.150.0/23 (150.253.150.0 עד 150.253.151.255)
144.196.224.0/21 (144.196.224.0 עד 144.196.231.255)
23.89.18.0/23 (23.89.18.0 עד 23.89.19.255)
163.129.16.0/21 (163.129.16.0 עד 163.129.23.255)
170.72.254.0/24 (170.72.254.0 עד 170.72.254.255)
170.133.156.0/22 (170.133.156.0 עד 170.133.159.255)
207.182.160.0/21 (207.182.160.0 עד 207.182.167.255)
207.182.168.0/23 (207.182.168.0 עד 207.182.169.255)
207.182.176.0/22 (207.182.176.0 עד 207.182.179.255)
207.182.190.0/23 (207.182.190.0 עד 207.182.191.255)
216.151.130.0/24 (216.151.130.0 עד 216.151.130.255)
216.151.134.0/24 (216.151.134.0 עד 216.151.134.255)
216.151.135.0/25 (216.151.135.0 עד 216.151.135.127)
216.151.135.240/28 (216.151.135.240 עד 216.151.135.255)
216.151.138.0/24 (216.151.138.0 עד 216.151.138.255)
216.151.139.0/25 (216.151.139.0 עד 216.151.139.127)
216.151.139.240/28 (216.151.139.241 עד 216.151.139.254)

שירותים שנפרסו

שירותים הפרוסים בטווח IP זה כוללים, אך אינם מוגבלים, להלן:

אתר הפגישה (לדוגמה, customersite.webex.com)
שרתי נתונים של פגישות
שרתי מולטימדיה עבור שמע מחשב (VoIP) ווידאו מצלמת אינטרנט
שירותי XML/API, כולל תזמון כלי פרודוקטיביות
שרתי הקלטה מבוססי רשת (NBR)
שירותים משניים כאשר השירותים העיקריים נמצאים בתחזוקה או נתקלים בקשיים טכניים

ה- URIs הבאים משמשים לבדיקת 'רשימת ביטול האישורים' עבור אישורי האבטחה שלנו. רשימות ביטול האישורים כדי להבטיח שלא ניתן יהיה להשתמש באישורים שנחשפו כדי ליירט תעבורת Webex מאובטחת. תעבורה זו מתרחשת ביציאת TCP 80:

*.quovadisglobal.com
*.digicert.com
*.identrust.com (תעודות IdenTrust)

סוכני המשתמש הבאים יעברו על-ידי Webex בתהליך utiltp ב-Webex ויש לאפשר אותם באמצעות חומת אש של סוכנות:

UserAgent=WebexInMeetingWin
UserAgent=WebexInMeetingMac
UserAgent=prefetchDocShow
UserAgent=standby

https://activation.webex.com/api/v1/ping כחלק מכתובות ה-URL המותרות. הוא משמש כחלק מתהליך ההפעלה של המכשיר, ו"המכשיר משתמש בו לפני שהוא יודע שהוא מכשיר FedRAMP. המכשיר שולח לו קוד הפעלה ללא מידע FedRAMP, השירות רואה שהוא קוד הפעלה של FedRAMP, ואז הוא מנתב אותם מחדש".

כל תעבורת FedRAMP דורשת הצפנת TLS 1.2 והצפנת mTLS 1.2 עבור מכשירים רשומים SIP מקומי.

יציאות המשמשות את לקוחות Webex Meetings (כולל מכשירים רשומים בענן)

פרוטוקול

מספרי יציאה

כיוון

סוג תעבורה

טווח IP

הערות

TCP

80/443

יוצא ל-Webex

HTTP, HTTPS

Webex ו-AWS (לא מומלץ לסנן לפי IP)

‎*.webex.com
‫***** מלונות CISCOSPARK, ברצלונה *****‬
*.s3.us-gov-west-1.amazonaws.com (זה משמש כדי לשרת תוכן וקבצים סטטיים)
*.wbx2.com

Webex ממליץ על סינון לפי כתובת URL. אם סינון לפי כתובת IP, עליך לאפשר טווחי IP של AWS GovCloud, Cloudfront ו-Webex.

TCP/UDP

יוצא ל- DNS מקומי

שירותי שמות תחומים (DNS)

רק שרת DNS

משמש לבדיקות מידע של DNS לגילוי כתובות ה-IP של שרתי Webex בענן. למרות שבדיקות מידע של DNS אופייניות מתבצעות דרך UDP, חלקן עשויות לדרוש TCP, אם התשובות לשאילתה לא מתאימות למנות UDP.

אקליפטוס

9000, 5004

יוצא ל-Webex

מדיית לקוח Webex ראשית (VoIP ו-RTP של וידאו)

Webex

יציאת מדיה של לקוח Webex משמשת להחלפת שמע במחשב, וידאו במצלמת אינטרנט וזרמי שיתוף תוכן. פתיחת יציאה זו נדרשת כדי להבטיח את חוויית המדיה הטובה ביותר האפשרית.

TCP

5004, 443, 80

יוצא ל-Webex

מדיית לקוח Webex חלופית (VoIP ו-RTP של וידאו)

Webex

יציאות גיבוי לקישוריות מדיה כאשר יציאת UDP‏ 9000 אינה פתוחה בחומת האש

UDP/TCP

שמע: 52000-52049

וידאו: 52100 עד 52199

נכנס לרשת שלך

מדיית לקוח Webex (Voip ו-Video)

חזרה מ-AWS ו-Webex

Webex יתקשר עם יציאת היעד שהתקבלה כאשר הלקוח מבצע את החיבור שלו. יש להגדיר חומת אש שתאפשר את חיבורי החזרה הללו.

אפשרות זו מופעלת כברירת מחדל.

TCP/UDP

יציאות ארעיות ספציפיות למערכת ההפעלה

נכנס לרשת שלך

תעבורה חוזרת מ-Webex

חזרה מ-AWS ו-Webex

Webex יתקשר עם יציאת היעד שהתקבלה כאשר הלקוח מבצע את החיבור שלו. יש להגדיר חומת אש שתאפשר את חיבורי החזרה הללו.

בדרך כלל זה נפתח באופן אוטומטי בחומת אש עם מדינה, אבל הוא רשום כאן כדי להשלים.

עבור לקוחות המפעילים את Webex for Government שאינם יכולים לאפשר סינון מבוסס URL עבור HTTPS, יהיה עליך לאפשר קישוריות עם AWS Gov Cloud West (אזור: us‐gov‐west‐1) ו-Cloud Front (שירות: CLOUDFRONT). עיין בתיעוד של AWS כדי לזהות את טווחי ה-IP עבור אזור AWS Gov Cloud West וחזית הענן של AWS. התיעוד של AWS זמין בכתובת https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex ממליץ בחום על סינון לפי כתובת URL במידת האפשר.

Cloudfront משמש לתוכן סטטי המועבר באמצעות רשת אספקת תוכן כדי להעניק ללקוחות את הביצועים הטובים ביותר ברחבי הארץ.

יציאות המשמשות מכשירי שיתוף פעולה בווידאו של Cisco הרשומים באתר

ראה גם את מדריך הפריסה הארגונית של Cisco Webex Meetings עבור פגישות התומכות במכשיר וידאו

פרוטוקול	מספרי יציאה	כיוון	סוג גישה	טווח IP	הערות
TCP	5061-5070	יוצא ל-Webex	SIP signaling	Webex	קצה המדיה של Webex מאזין ביציאות אלה
TCP	5061, 5065	נכנס לרשת שלך	SIP signaling	Webex	תעבורת איתות SIP נכנסת מענן Webex
TCP	5061	יוצא ל-Webex	איתות SIP ממכשירים רשומים בענן	AWS	שיחות נכנסות מאפליקציית Webex 1:1 שיחות ומכשירים הרשומים בענן ל- SIP URI הרשום המקומי שלך. *5061 היא יציאת ברירת המחדל. Webex תומך ב-5061-5070 יציאות לשימוש על-ידי לקוחות כפי שהוגדרו ברשומת SIP SRV שלהם
TCP/UDP	1719, 1720, 15000-19999	יוצא ל-Webex	LS של H.323	Webex	אם נקודת הקצה שלך דורשת תקשורת עם שומר שער, פתח גם את יציאה 1719, הכוללת את Lifesize
TCP/UDP	יציאות ארעיות, 36000-59999	נכנס	יציאות מדיה	Webex	אם אתה משתמש ב-Cisco Expressway, יש להגדיר את טווחי המדיה ל-36000-59999. אם אתה משתמש בנקודת קצה של צד שלישי או בקרת שיחות, יש להגדיר אותן לשימוש בטווח זה.
TCP	443	נכנס	קרבה של מכשיר מקומי	רשת מקומית	יישום Webex או יישום שולחן העבודה של Webex חייב להיות נתיב הניתן לניתוב של IPv4 בינו לבין התקן הווידאו באמצעות HTTPS

עבור לקוחות המאפשרים Webex עבור הממשלה המקבלים שיחות נכנסות מ- Webex App 1:1 שיחות ומכשירים רשומים בענן ל- SIP URI הרשום המקומי שלך. עליך גם לאפשר קישוריות עם AWS Gov Cloud West (אזור: ארה"ב‐גוב‐מערב‐1). עיין בתיעוד של AWS כדי לזהות את טווחי ה-IP עבור אזור הענן המערבי של AWS Gov. תיעוד AWS זמין בכתובת https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

יציאות המשמשות את שמע Edge

זה נדרש רק אם תמנף את Edge Audio.

פרוטוקול	מספרי יציאה	כיוון	סוג גישה	טווח IP	הערות
TCP	5061-5062	נכנס לרשת שלך	SIP signaling	Webex	SIP signaling נכנס עבור שמע Edge
TCP	5061-5065	יוצא ל-Webex	SIP signaling	Webex	SIP signaling יוצא עבור שמע Edge
TCP/UDP	יציאות ארעיות, 8000-59999	נכנס לרשת שלך	יציאות מדיה	Webex	בחומת אש ארגונית, יש לפתוח יציאות עבור תעבורה נכנסת ל-Expressway עם טווח יציאות מ-8000-59999

קבע תצורה של mTLS באמצעות האפשרויות הבאות:

הגדר את אימות|ה- TLS ההדדי של הכביש המהיר.
רשויות | אישורי בסיס נתמכות פלטפורמותשמע ווידאו של Cisco Webex.
מדריך תצורת |שמע של Edge.

דומיינים וכתובות URL עבור שירותי Webex Calling

* המוצג בתחילת כתובת URL (למשל, ‎*.webex.com) מציין ששירותים בדומיין ברמה העליונה ובכל הדומיינים של המשנה חייבים להיות נגישים.

טבלה 3. שירותי Webex

דומיין/URL

תיאור

יישומים ומכשירים של Webex המשתמשים בדומיינים/כתובות URL אלה

‎*.webex.com

*.cisco.com

Webexgov.us (באנגלית)‎

שירותי ליבה של Webex Calling & Webex Aware

הקצאת מכשירים

אחסון זהות

אימות

שירותי OAuth

כניסת המכשיר למטוס

כאשר טלפון מתחבר לרשת בפעם הראשונה או לאחר איפוס להגדרות יצרן ללא אפשרויות DHCP מוגדרות, הוא יוצר קשר עם שרת הפעלת התקן לצורך הקצאת מגע אפס. טלפונים חדשים משתמשים ב-activte.cisco.com וטלפונים עם שחרור קושחה מוקדם יותר מ-11.2(1), ממשיכים להשתמש ב-webapps.cisco.com להקצאה.

הורד את הקושחה והעדכונים של המכשיר מ binaries.webex.com .

הכול

*.wbx2.com ו*.ciscospark.com

משמש למודעות לענן, CSDM, WDM, כספית וכן הלאה. שירותים אלה נחוצים כדי שהאפליקציות והמכשירים יגיעו לשירותי Webex Calling ו- Webex Aware במהלך ואחרי ההצטרפות.

הכול

webexapis.com

מיקרו-שירותים של Webex שמנהלים את היישומים והמכשירים שלך.

שירות תמונת פרופיל

שירות לוח לבן

שירות קרבה

שירות נוכחות

הרישום נדחה

שירות לוח שנה

חפש מכשיר

הכול

*.webexcontent.com

שירות Webex העברת הודעות הקשור לאחסון קבצים כללי כולל:

קווי משתמשים

קבצים מקודדים

תמונות

צילומי מסך

פקדי לוח לבן

יומני לקוח ומכשירים

תמונת פרופיל

לוגו מיתוג

קופסה קבצים

קבצי ייצוא CSV בכמות גדולה וקבצי ייבוא (Control Hub)

שירותי העברת הודעות של יישום Webex.

אחסון קבצים באמצעות webexcontent.com הוחלף ב-clouddrive.com באוקטובר 2019

טבלה 4. שירותים נוספים הקשורים ל-Webex (דומיינים של צד שלישי)
דומיין/URL	תיאור	יישומים ומכשירים של Webex המשתמשים בדומיינים/כתובות URL אלה
.appdynamics.com .eum-appdynamics.com	מעקב אחר ביצועים, לכידת שגיאות וקריסות, מדדי הפעלה.	Control Hub
*.huron-dev.com	שירותי מיקרו של Webex Calling, כגון שירותי החלפת מצב, הזמנת מספרי טלפון ושירותי הקצאה.	Control Hub
*.sipflash.com	שירותי ניהול מכשירים. שדרוגי קושחה ומטרות כניסה מאובטחת.	יישומי Webex
.google.com .googleapis.com	התראות לאפליקציות Webex במכשירים ניידים (לדוגמה: הודעה חדשה, כאשר השיחה נענית) עבור רשתות משנה של IP , עיין בקישורים אלה שירות Google Firebase Cloud העברת הודעות (FCM). Apple הודעה בדחיפה Service (APNS)	יישום Webex

רשתות משנה של IP עבור שירותי Webex Calling

23.89.18.0/23
163.129.16.0/21
150.253.150.0/23
144.196.224.0/21
144.196.16.0/24

יציאות המשמשות את Webex Calling

טבלה 5. שירותי Webex Calling ו-Webex Aware
מטרת החיבור	כתובות מקור	יציאות מקור	פרוטוקול	כתובות יעד	יציאות יעד	הערות
איתות על שיחות ל-Webex Calling‏ (SIP TLS)	שער מקומי - חיצוני (NIC)	8000-65535	TCP	ראה רשתות משנה של IP עבור שירותי Webex Calling.	5062, 8934	כתובות IP/יציאות אלה נחוצות עבור איתות שיחות SIP-TLS יוצא משערים מקומיים, התקנים ויישומים (מקור) לענן שיחות Webex (יעד). יציאה 5062 (נדרש עבור תא מטען מבוסס תעודה). ויציאה 8934 (נדרש עבור טראנק מבוסס רישום
	מכשירים	5060 - 5080			8934
	יישומים	ארעי (תלוי במערכת ההפעלה)			8934
מדיית שיחות ל-Webex Calling (STUN, SRTP	שער מקומי - NIC חיצוני	8000-48198^<UNK>^*	UDP	ראה רשתות משנה של IP עבור שירותי Webex Calling.	5004, 9000 (יציאות STUN) 8500—8700,19560—65535 (SRTP מעל UDP)	כתובות IP/יציאות אלה נחוצות למדיית שיחות SRTP יוצאות משערים מקומיים, מכשירים ויישומים (מקור) לענן Webex Calling (יעד). עבור שיחות בארגון שבו STUN, ICE מוצלח משא ומתן, ממסר המדיה בענן מוסר כדרך התקשורת. במקרים כאלה זרימת המדיה היא ישירות בין היישומים/המכשירים של המשתמש. לדוגמה: אם אופטימיזציה של מדיה מוצלחת, יישומים שולחים מדיה ישירות אחד לשני בטווחי יציאות בין 8500-9700 ומכשירים שולחים מדיה ישירות אחד לשני בטווחי יציאות בין 19560- 60. עבור טופולוגיות רשת מסוימות שבהן נעשה שימוש בחומות אש במסגרת ההנחה של לקוח, אפשר גישה עבור טווחי המקור והיעד המוזכרים ברשת שלך כדי שהמדיה תזרום דרכם. דוגמה: עבור יישומים, אפשר את טווח יציאות המקור והיעד 8500-8700.
	מכשירים	עמ' 1960–<UNK> 60
	יישומים	8500 – 8700
איתות על שיחות לשער PSTN‏ (SIP TLS)	שער מקומי - NIC פנימי	8000-65535	TCP	שער ITSP PSTN שלך או Unified CM	תלוי באפשרות PSTN (לדוגמה, בדרך כלל 5060 או 5061 עבור Unified CM)
מדיית שיחות לשער PSTN‏ (SRTP)	שער מקומי - NIC פנימי	8000-48198^<UNK>^*	UDP	שער ITSP PSTN שלך או Unified CM	תלוי באפשרות PSTN (לדוגמה, בדרך כלל 5060 או 5061 עבור Unified CM)
תצורת מכשיר וניהול קושחה (מכשירי Cisco)	מכשירי Webex Calling	זמני	TCP	3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26	443.6970	נדרש מהסיבות הבאות: מעבר מטלפונים ארגוניים (Cisco Unified CM) ל- Webex Calling. ראה upgrade.cisco.com למידע נוסף. ה-cloudupgrader.webex.com משתמש ביציאות: 6970,443 עבור תהליך העברת הקושחה. כתובות IP אלה נדרשות לקליטה מאובטחת של מכשירים (MPP וטלפונים בחדר או בדסק) באמצעות קוד ההפעלה בן 16 הספרות (GDS). עבור CDA / EDOS - הקצאה מבוססת כתובת MAC. משמש מכשירים (טלפוני MPP, התקני ATA והתקני ATA של SPA) עם קושחה חדשה יותר. כאשר טלפון מתחבר לרשת בפעם הראשונה או לאחר איפוס להגדרות יצרן, ללא הגדרות ה- DHCP , הוא יוצר קשר עם שרת הפעלת התקן לצורך הקצאת מגע אפס. טלפונים חדשים משתמשים ב-"activate.cisco.com" במקום "webapps.cisco.com" לצורך הקצאה. טלפונים עם מהדורת קושחה קודמת ל-‎11.2(1)‎ ממשיכים להשתמש ב-"webapps.cisco.com". מומלץ לאפשר את כל תת-רשתות IP הללו.
תצורת יישום	יישומי Webex Calling	זמני	TCP	62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19	443, 8443	משמש לאימות Idbroker, שירותי תצורת יישומים עבור לקוחות, גישה לאינטרנט לאינטרנט מבוססת דפדפן לטיפול עצמי וגישה לממשקים ניהוליים.
סנכרון זמן מכשיר (NTP)	מכשירי Webex Calling	51494	UDP	ראה רשתות משנה של IP עבור שירותי Webex Calling.	123	כתובות IP אלה נחוצות לסנכרון זמן עבור מכשירים (טלפוני MPP, התקני ATA והתקני ATA של SPA)
רזולוציית שם המכשיר ורזולוציית שם היישום	מכשירי Webex Calling	זמני	UDP ו-TCP	מוגדר על-ידי המארח	53	משמש לבדיקות מידע של DNS לגילוי כתובות ה-IP של שרתי Webex בענן. למרות שבדיקות מידע של DNS אופייניות מתבצעות דרך UDP, חלקן עשויות לדרוש TCP, אם התשובות לשאילתה לא מתאימות למנות UDP.
סנכרון זמן יישום	יישומי Webex Calling	123	UPD	מוגדר על-ידי המארח	123
CScan	מוכנות רשת מבוססת מקוון/באינטרנט כלי הסמכה מוקדמת עבור Webex Calling	זמני	UPD	ראה רשתות משנה של IP עבור שירותי Webex Calling.	<UNK> 69-<UNK> 60	כלי התאמה מוקדמת של רשת מבוססת מקוון/באינטרנט עבור Webex Calling. עבור אל cscan.webex.com לקבלת מידע נוסף.

טבלה 6. שירותים נוספים של Webex Calling ו-Webex Aware (צד שלישי)
מטרת החיבור	כתובות מקור	יציאות מקור	פרוטוקול	כתובות יעד	יציאות יעד	הערות
הודעות דחיפה שירותי APNS ו-FCM	יישומי Webex Calling	זמני	TCP	עיין ב- IP Subnets המוזכרים תחת הקישורים Apple הודעה בדחיפה Service (APNS) Google-Firebase Cloud העברת הודעות (FCM)	443, 2197, 5228, 5229, 5230, 5223	התראות לאפליקציות Webex במכשירים ניידים (לדוגמה: כאשר אתה מקבל הודעה חדשה או כאשר שיחה נענית)

^{† ניתן לקבוע את התצורה של טווח יציאות המדיה של CUBE עם טווח יציאות RTP.}
אם מוגדרת כתובת של שרת Proxy עבור האפליקציות והמכשירים שלך, תעבורת האיתות נשלחת ל-proxy. מדיה SRTP דרך UDP לא נשלחת לשרת ה- שרת Proxy. זה חייב לזרום ישירות אל חומת האש שלך במקום זאת.
אם אתה משתמש בשירותי NTP ו- DNS בתוך הרשת הארגונית שלך, פתח את היציאות 53 ו-123 דרך חומת האש שלך.