התייחסות מהירה ליציאות של פגישות וטווחי IP

טווחי ה-IP הבאים משמשים אתרים שנפרסו באשכול הפגישות של FedRAMP. עבור מסמך זה, טווחים אלה נקראים 'טווחי ה-IP של Webex':

  • 150.253.150.0/23 (150.253.150.0 עד 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 עד 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 עד 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 עד 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 עד 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 עד 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 עד 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 עד 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 עד 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 עד 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 עד 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 עד 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 עד 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 עד 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 עד 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 עד 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 עד 216.151.139.254)

שירותים שנפרסו

שירותים שנפרסו בטווח כתובות IP זה כוללים, אך אינם מוגבלים, את הדברים הבאים:

  • אתר הפגישה (לדוגמה, customersite.webex.com)
  • שרתי נתונים במפגשים
  • שרתי מולטימדיה עבור אודיו ממוחשב (VoIP) ווידאו במצלמת אינטרנט
  • שירותי XML/API, כולל תזמון כלי פרודוקטיביות
  • שרתי הקלטה מבוססת רשת (NBR)
  • שירותים משניים כאשר השירותים העיקריים נמצאים בתחזוקה או נתקלים בקשיים טכניים

ה - URIs הבאים משמשים לבדיקת 'רשימת ביטול האישורים' עבור אישורי האבטחה שלנו. רשימות ביטול האישורים כדי להבטיח שלא ניתן יהיה להשתמש באישורים שנפגעו כדי ליירט את תנועת Webex מאובטחת. תנועה זו מתרחשת ב - TCP Port 80:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com(תעודות IdenTrust)

UserAgents הבאים יועברו על-ידי Webex בתהליך utiltp ב-Webex ויש לאפשר אותם דרך חומת אש של סוכנות:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping כחלק מכתובות האתרים המותרות. הוא משמש כחלק מתהליך הפעלת המכשיר, ו"המכשיר משתמש בו לפני שהוא יודע שהוא מכשיר FedRAMP. המכשיר שולח לו קוד הפעלה ללא מידע על FedRAMP, השירות רואה שזהו קוד הפעלה של FedRAMP, ולאחר מכן הוא מנתב אותו מחדש".

כל תעבורת FedRAMP דורשת הצפנת TLS 1.2 והצפנת mTLS 1.2 עבור מכשירי SIP רשומים מקומיים.

יציאות המשמשות את לקוחות Webex Meetings (כולל מכשירים רשומים בענן)

פרוטוקולמספרי יציאותכיווןסוג תעבורהטווח IPהערות
TCP80/443יציאה ל - WebexHTTP, HTTPSWebex ו - AWS (לא מומלץ לסנן לפי IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (משמש כדי לשרת תוכן וקבצים סטטיים)
  • *.wbx2.com

Webex ממליץ על סינון לפי כתובת URL. סינון לפי כתובת IP, עליך לאפשר טווחי IP של AWS GovCloud‏, Cloudfront ו-Webex.

TCP/UDP53יציאה אל DNS מקומישירותי שמות דומיין (DNS)רק שרת DNSמשמש לבדיקות מידע של DNS לגילוי כתובות ה-IP של שרתי Webex בענן. למרות שבדיקות מידע של DNS אופייניות מתבצעות דרך UDP, חלקן עשויות לדרוש TCP, אם התשובות לשאילתה לא מתאימות למנות UDP.
UDP9000, 5004יוצא ל-Webexמדיית לקוח Webex ראשית (VoIP ו-RTP של וידאו)Webexיציאת המדיה של לקוחות Webex משמשת להחלפת קובצי אודיו ממוחשבים, וידאו במצלמת אינטרנט וזרמי שיתוף תוכן. פתיחת יציאה זו נדרשת כדי להבטיח את חוויית המדיה הטובה ביותר האפשרית.
TCP5004, 443, 80יוצא ל-Webexמדיית לקוח Webex חלופית (VoIP ו-RTP של וידאו)Webexיציאות גיבוי עבור קישוריות מדיה כאשר יציאת UDP 9000 אינה פתוחה בחומת האש
udp/tcp

שמע: 52000 עד 52049

וידאו: 52100 עד 52199

נכנס לרשת שלךמדיית לקוח Webex (Voip ו-וידאו)חזרה מ - AWS ו - Webex

Webex יתקשר עם יציאת היעד שהתקבלה כאשר הלקוח מבצע את החיבור שלו. יש להגדיר חומת אש שתאפשר את חיבורי החזרה הללו.

אפשרות זו מופעלת כברירת מחדל.
TCP/UDPיציאות אפימרליות ספציפיות למערכת ההפעלהנכנס לרשת שלךהחזרת תנועה מ - Webexחזרה מ - AWS ו - Webex

Webex יתקשר עם יציאת היעד שהתקבלה כאשר הלקוח מבצע את החיבור שלו. יש להגדיר חומת אש שתאפשר את חיבורי החזרה הללו.

אפשרות זו נפתחת בדרך כלל באופן אוטומטי בחומת אש בעלת מצב, אולם היא מופיעה כאן לצורך השלמות.

עבור לקוחות שמפעילים את Webex for Government שאינם יכולים לאפשר סינון מבוסס URL עבור HTTPS, תצטרך לאפשר קישוריות עם AWS Gov Cloud West (אזור: אנחנו,גוב,מערב,1, וחזית הענן (שירות: CLOUDFRONT). אנא עיין בתיעוד AWS כדי לזהות את טווחי ה - IP עבור אזור AWS Gov Cloud West ו - AWS Cloud Front. תיעוד AWS זמין בכתובת https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex ממליץ בחום על סינון לפי כתובת URL במידת האפשר.

Cloudfront משמשת להעברת תוכן סטטי באמצעות רשת משלוחי תוכן כדי לספק ללקוחות את הביצועים הטובים ביותר ברחבי הארץ.

יציאות המשמשות מכשירי שיתוף פעולה בווידאו רשומים מקומיים של Cisco

ראה גם את מדריך הפריסה הארגונית של Cisco Webex Meetings עבור פגישות התומכות במכשיר וידאו

פרוטוקולמספרי יציאהכיווןסוג גישהטווח IPהערות
TCP5061—5070יציאה ל - WebexSIP signalingWebexהקצה התקשורתי של Webex מאזין לנמלים אלה.
TCP5061, 5065נכנסים לרשת שלךSIP signalingWebexתנועת איתות SIP נכנסת מענן Webex
TCP5061יוצא ל-Webexאיתות SIP ממכשירים רשומים בענןAWSשיחות נכנסות מיישום Webex ממכשירים רשומים לשיחות 1:1 ולמכשירים רשומים בענן ל-SIP URI הרשום המקומי שלך. *5061 היא יציאת ברירת המחדל. Webex תומך ב-5061-5070 יציאות לשימוש על-ידי לקוחות כמוגדר ברשומת SIP SRV שלהם
TCP/UDP1719, 1720, 15000—19999יוצא ל-WebexH.323 LSWebexאם נקודת הקצה שלך דורשת תקשורת עם שוער, פתח גם את יציאה 1719, הכוללת את Lifesize
TCP/UDPיציאות ארעיות, 36000-59999נכנסיציאות מדיהWebexאם אתם משתמשים בכביש מהיר של סיסקו, יש להגדיר את טווחי המדיה ל -36000 -59999. אם אתה משתמש בנקודת קצה של צד שלישי או בקרת שיחות, יש להגדיר אותן לשימוש בטווח זה.
TCP443נכנסקרבה בין מכשירים בזמן אמתרשת מקומיתיישום Webex או יישום Webex למחשב שולחני מוכרח להיות נתיב הניתן לניתוב של IPv4 בינו לבין מכשיר הווידאו המשתמש ב-HTTPS

עבור לקוחות המאפשרים ל - Webex לקבל שיחות נכנסות מהממשלה מאפליקציית Webex 1:1 שיחות ומכשירים רשומים בענן לכתובת ה - URI הרשומה שלך ב - SIP. עליך גם לאפשר קישוריות עם AWS Gov Cloud West (אזור: אנחנו,גוב,מערב,1. עיין בתיעוד של AWS כדי לזהות את טווחי ה-IP עבור אזור AWS Gov Cloud West. התיעוד של AWS זמין בכתובת https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

יציאות המשמשות את Edge Audio

פעולה זו נדרשת רק אם אתה ממנף את Edge Audio.

פרוטוקולמספרי יציאהכיווןסוג גישהטווח IPהערות
TCP5061—5062נכנסים לרשת שלךSIP signalingWebexאיתות SIP נכנס עבור Edge Audio
TCP5061—5065יציאה ל - WebexSIP signalingWebexאיתות SIP יוצא עבור Edge Audio
TCP/UDPיציאות ארעיות, 8000-59999נכנסים לרשת שלךיציאות מדיהWebexבחומת אש ארגונית, יש לפתוח יציאות עבור תעבורה נכנסת ל-Expressway עם טווח יציאות מ-8000-59999

קבע את התצורה של mTLS באמצעות האפשרויות הבאות:

דומיינים וכתובות URL עבור שירותי Webex Calling

* המוצגת בתחילת כתובת URL (לדוגמה, ‎*.webex.com) מציינת ששירותים בדומיין ברמה העליונה וכל דומייני המשנה נגישים.

טבלה 2. שירותי Webex
דומיין/כתובת URLתיאוריישומים ומכשירים של Webex המשתמשים בדומיינים/כתובות URL אלה

*.webex.com

*.cisco.com

*.webexgov.us

שירותי Webex Calling ו-Webex Aware Core

הקצאת זהות

אחסון זהויות

אימות

שירותי OAuth

צירוף מכשירים

כאשר טלפון מתחבר לרשת בפעם הראשונה או לאחר איפוס להגדרות יצרן ללא אפשרויות DHCP, הוא יוצר קשר עם שרת הפעלת מכשירים לצורך הקצאה ללא מגע. טלפונים חדשים משתמשים ב-activate.cisco.com ובטלפונים עם מהדורת קושחה מוקדמת יותר מ-11.2(1), ממשיכים להשתמש ב-webapps.cisco.com להקצאה.

הורד את קושחת המכשיר ואת העדכונים המקומיים מ-binaries.webex.com .

הכול
‎*.wbx2.com ו-‎*.ciscospark.comמשמש למודעות בענן, CSDM, WDM, כספית וכן הלאה. שירותים אלה נחוצים כדי שהיישומים והמכשירים יגיעו לשירותי Webex Calling ו-Webex Aware במהלך ואחרי הצירוף.הכול
*.webexapis.com

מיקרו-שירותים של Webex שמנהלים את היישומים והמכשירים שלך.

שירות תמונת פרופיל

שירות לוח עבודה

שירות קרבה

שירות נוכחות

שירות רישום

שירות לוחות שנה

שירות חיפוש

הכול
*.webexcontent.com

שירות העברת הודעות של Webex הקשור לאחסון קבצים כללי, כולל:

קובצי משתמש

העברת קבצים

תמונות

צילומי מסך

תוכן לוח העבודה

יומני רישום של לקוח ומכשיר

תמונות פרופיל

לוגואים של מיתוג

קובצי יומן רישום

ייצוא קבצים וקובצי ייבוא של CSV בכמות גדולה (Control Hub)

שירותי העברת הודעות של יישום Webex.
אחסון קבצים באמצעות webexcontent.com הוחלף ב-clouddrive.com באוקטובר 2019
טבלה 4. שירותים נוספים הקשורים ל-Webex (דומיינים של צד שלישי)
דומיין/כתובת URLתיאוריישומים ומכשירים של Webex המשתמשים בדומיינים/כתובות URL אלה

*.appdynamics.com

**.eum appdynamics.com

מעקב אחר ביצועים, לכידת שגיאות וקריסות, מדדי הפעלה.Control Hub
*.huron-dev.comשירותי מיקרו של Webex Calling, כגון שירותי החלפת מצב, הזמנת מספרי טלפון ושירותי הקצאה.Control Hub
*.sipflash.comשירותי ניהול מכשירים. שדרוגי קושחה ומטרות קליטה מאובטחות.יישומי Webex

*.google.com

*.googleapis.com

התראות ליישומי Webex במכשירים ניידים (לדוגמה: הודעה חדשה, כאשר נענה לשיחה)

עבור רשתות משנה של IP, עיין בקישורים האלה

שירות העברת הודעות בענן של Google (FCM)

שירות התראת דחיפה של Apple (APNS)

Webex App

רשתות משנה של IP עבור שירותי Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

יציאות המשמשות את Webex Calling

טבלה 5. שירותי Webex Calling ו-Webex Aware
מטרת החיבורכתובות מקוריציאות מקורפרוטוקולכתובות יעדיציאות יעדהערות
איתות על שיחות ל-Webex Calling‏ (SIP TLS)שער מקומי - חיצוני (NIC)8000—65535TCPראה רשתות משנה של IP עבור שירותי Webex Calling.5062, 8934

כתובות IP/יציאות אלה נחוצות לאיתות שיחות SIP-TLS יוצאות משערים מקומיים, מכשירים ויישומים (מקור) לענן Webex Calling (יעד).

יציאה 5062 (נדרשת עבור trunk המבוסס על תעודה). ויציאה 8934 (נדרש עבור trunk מבוסס רישום

מכשירים5060—50808934
יישומיםארעי (תלוי במערכת ההפעלה)
מדיית שיחות ל-Webex Calling ‏(SRTP)שער מקומי - NIC חיצוני8000—48198*UDPראה רשתות משנה של IP עבור שירותי Webex Calling.

8500—8700,19560—65535 (SRTP מעל UDP)

מיטוב מדיה מבוסס-STUN‏, ICE-Lite אינו נתמך עבור Webex for Government.

כתובות IP/יציאות אלה משמשים למדיית שיחות SRTP יוצאות משערים מקומיים, מכשירים ויישומים (מקור) לענן Webex Calling (יעד).

עבור טופולוגיות רשת מסוימות שבהן נעשה שימוש בחומות אש במסגרת ההנחה של לקוח, אפשר גישה עבור טווחי המקור והיעד המוזכרים ברשת שלך כדי שהמדיה תזרום דרכם.

דוגמה: עבור יישומים, אפשר את טווח המקור ויציאת היעד 8500-8700.

מכשירים19560—19660
יישומים8500—8700
איתות על שיחות לשער PSTN‏ (SIP TLS)שער מקומי - NIC פנימי8000—65535TCPשער ITSP PSTN שלך או Unified CMתלוי באפשרות PSTN (לדוגמה, בדרך כלל 5060 או 5061 עבור Unified CM)
מדיית שיחות לשער PSTN‏ (SRTP)שער מקומי - NIC פנימי8000—48198*UDPשער ITSP PSTN שלך או Unified CMתלוי באפשרות PSTN (לדוגמה, בדרך כלל 5060 או 5061 עבור Unified CM)
תצורת מכשיר וניהול קושחה (מכשירי Cisco)מכשירי Webex CallingזמניTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

נדרש מהסיבות הבאות:

  1. הגירה מטלפונים ארגוניים (Cisco Unified CM) ל-Webex Calling. ראה upgrade.cisco.com לקבלת מידע נוסף. cloudupgrader.webex.com משתמש ביציאות: 6970,443 עבור תהליך הגירת קושחה.

  2. שדרוגי קושחה וצירוף מאובטח של מכשירים (MPP וטלפונים לחדר או שולחני) באמצעות קוד הפעלה בן 16 ספרות (GDS).

  3. עבור CDA / EDOS - הקצאה מבוססת-כתובת MAC. משמש מכשירים (טלפוני MPP, התקני ATA והתקני ATA של SPA) עם קושחה חדשה יותר.

  4. כאשר טלפון מתחבר לרשת בפעם הראשונה או לאחר איפוס להגדרות היצרן, ללא הגדרת אפשרויות DHCP, הוא יוצר קשר עם שרת הפעלת מכשירים לצורך הקצאה ללא מגע. טלפונים חדשים משתמשים ב-"activate.cisco.com" במקום "webapps.cisco.com" לצורך הקצאה. טלפונים עם קושחה שפורסמה מוקדם יותר מ-11.2(1) ממשיכים להשתמש ב"webapps.cisco.com". מומלץ לאפשר את כל רשתות המשנה האלה של IP.

תצורת יישוםיישומי Webex CallingזמניTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443משמש לאימות Idbroker, שירותי תצורת יישום עבור לקוחות, גישה לאינטרנט מבוססת דפדפן לטיפול עצמי וגישה לממשקים מנהליים.
סנכרון זמן מכשיר (NTP)מכשירי Webex Calling51494UDPראה רשתות משנה של IP עבור שירותי Webex Calling.123כתובות IP אלה נחוצות לסנכרון זמן עבור מכשירים (טלפוני MPP, התקני ATA והתקני ATA של SPA)
רזולוציית שם המכשיר וזיהוי שם היישוםמכשירי Webex CallingזמניUDP ו-TCPמוגדר על-ידי המארח53

משמש לבדיקות מידע של DNS כדי לגלות את כתובות ה-IP של שירותי Webex Calling בענן.

למרות שבדיקות DNS אופייניות מתבצעות דרך UDP, חלק עשויים לדרוש TCP, אם תגובות השאילתה לא יכולות להתאים אותן במנות UDP.
סנכרון זמן יישוםיישומי Webex Calling123למעלהמוגדר על-ידי המארח123
CScanכלי קדם-הסמכה של מוכנות רשת מבוסס אינטרנט עבור Webex Callingזמנילמעלהראה רשתות משנה של IP עבור שירותי Webex Calling.19569—19760כלי להגדרת מוכנות רשת מבוססת אינטרנט עבור Webex Calling. עבור אל cscan.webex.com לקבלת מידע נוסף.
טבלה 6. שירותי Webex Calling ו-Webex Aware נוספים (צד שלישי)
מטרת החיבורכתובות מקוריציאות מקורפרוטוקולכתובות יעדיציאות יעדהערות
הודעות בדחיפה שירותי APNS ו-FCMיישומי Webex CallingזמניTCP

עיין ברשתות משנה של IP המוזכרות תחת הקישורים

שירות התראת דחיפה של Apple (APNS)

העברת הודעות בענן של Google-Firebase (FCM)

443, 2197, 5228, 5229, 5230, 5223התראות ליישומי Webex במכשירים ניידים (לדוגמה: כאשר תקבל הודעה חדשה או כאשר תיענה לשיחה)
  • *טווח יציאות מדיה של CUBE ניתן להגדרה עם טווח יציאות rtp.
  • אם מוגדרת כתובת שרת Proxy עבור היישומים והמכשירים שלך, תעבורת האיתות נשלחת אל ה-Proxy. מדיה שהועברה SRTP דרך UDP אינה נשלחת לשרת ה-Proxy. הוא חייב לזרום ישירות לחומת האש שלך במקום זאת.
  • אם אתה משתמש בשירותי NTP ו-DNS בתוך הרשת הארגונית שלך, פתח את היציאות 53 ו-123 דרך חומת האש שלך.