מדריך מהיר ליציאות וטווחי IP של פגישות

טווחי ה-IP הבאים משמשים אתרים הפרוסים באשכול פגישות FedRAMP. עבור מסמך זה, טווחים אלה מכונים 'טווחי IP של Webex':

  • 150.253.150.0/23 (150.253.150.0 עד 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 עד 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 עד 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 עד 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 עד 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 עד 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 עד 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 עד 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 עד 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 עד 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 עד 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 עד 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 עד 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 עד 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 עד 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 עד 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 עד 216.151.139.254)

שירותים שנפרסו

השירותים הפרוסים בטווח IP זה כוללים, בין היתר, את הדברים הבאים:

  • אתר האינטרנט של הפגישה (לדוגמה, customersite.webex.com)
  • שרתי נתונים במפגשים
  • שרתי מולטימדיה עבור אודיו ממוחשב (VoIP) ווידאו במצלמת אינטרנט
  • XML/API שירותים, כולל תזמון כלי פרודוקטיביות
  • שרתי הקלטה מבוססת רשת (NBR)
  • שירותים משניים כאשר השירותים העיקריים נמצאים בתחזוקה או נתקלים בקשיים טכניים

ה - URIs הבאים משמשים לבדיקת 'רשימת ביטול האישורים' עבור אישורי האבטחה שלנו. רשימות ביטול האישורים כדי להבטיח שלא ניתן יהיה להשתמש באישורים שנפגעו כדי ליירט את תנועת Webex מאובטחת. תנועה זו מתרחשת ב - TCP Port 80:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com(תעודות IdenTrust)

סוכני המשתמש הבאים יועברו על ידי Webex על ידי תהליך utiltp ב-Webex ויש לאפשר להם לעבור דרך חומת האש של הסוכנות:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping כחלק מכתובות האתרים המותרות. הוא משמש כחלק מתהליך הפעלת המכשיר, ו"המכשיר משתמש בו לפני שהוא יודע שמדובר במכשיר FedRAMP." המכשיר שולח לו קוד הפעלה ללא מידע על FedRAMP, השירות רואה שזהו קוד הפעלה של FedRAMP, ואז הוא מפנה אותם מחדש."

כל תעבורת FedRAMP דורשת הצפנת TLS 1.2 והצפנת mTLS 1.2 עבור מכשירים רשומים ב-SIP מקומי.

פורטים המשמשים לקוחות Webex Meetings (כולל מכשירים רשומים בענן)

פרוטוקולמספרי יציאותכיווןסוג התנועהטווח IPהערות
TCP80/443יציאה ל - WebexHTTP, HTTPSWebex ו - AWS (לא מומלץ לסנן לפי IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (משמש להצגת תוכן סטטי וקבצים)
  • *.wbx2.com

Webex ממליץ לסנן לפי כתובת URL. אם אתם מסננים לפי כתובת IP, עליכם לאפשר טווחי IP של AWS GovCloud, Cloudfront ו-Webex.

TCP/UDP53יציאה אל DNS מקומישירותי שמות דומיין (DNS)רק שרת DNSמשמש לבדיקות מידע של DNS לגילוי כתובות ה-IP של שרתי Webex בענן. למרות שבדיקות מידע של DNS אופייניות מתבצעות דרך UDP, חלקן עשויות לדרוש TCP, אם התשובות לשאילתה לא מתאימות למנות UDP.
UDP9000, 5004יוצא ל-Webexמדיית לקוח Webex ראשית (VoIP ו-RTP של וידאו)Webexיציאת המדיה של לקוחות Webex משמשת להחלפת קובצי אודיו ממוחשבים, וידאו במצלמת אינטרנט וזרמי שיתוף תוכן. פתיחת פורט זה נדרשת כדי להבטיח את חוויית המדיה הטובה ביותר.
TCP5004, 443, 80יוצא ל-Webexמדיית לקוח Webex חלופית (VoIP ו-RTP של וידאו)Webexיציאות גיבוי עבור קישוריות מדיה כאשר יציאת UDP 9000 אינה פתוחה בחומת האש
UDP/TCP

שמע: 52000 עד 52049

וידאו: 52100 עד 52199

נכנס לרשת שלךמדיה של לקוח Webex (VoIP ווידאו)חזרה מ - AWS ו - Webex

Webex יתקשר עם יציאת היעד שהתקבלה כאשר הלקוח מבצע את החיבור שלו. יש להגדיר חומת אש שתאפשר את חיבורי החזרה הללו.

זה מופעל כברירת מחדל.
TCP/UDPיציאות אפימרליות ספציפיות למערכת ההפעלהנכנס לרשת שלךהחזרת תנועה מ - Webexחזרה מ - AWS ו - Webex

Webex יתקשר עם יציאת היעד שהתקבלה כאשר הלקוח מבצע את החיבור שלו. יש להגדיר חומת אש שתאפשר את חיבורי החזרה הללו.

בדרך כלל זה נפתח אוטומטית בחומת אש מבוססת מצב, אך זה מופיע כאן לשלמות התמונה.

עבור לקוחות המאפשרים Webex לממשלה שאינם יכולים לאפשר סינון מבוסס כתובות URL עבור HTTPS, תצטרכו לאפשר קישוריות עם AWS Gov Cloud West (אזור: אנחנו,גוב,מערב,1, וחזית הענן (שירות: CLOUDFRONT). אנא עיין בתיעוד AWS כדי לזהות את טווחי ה - IP עבור אזור AWS Gov Cloud West ו - AWS Cloud Front. תיעוד AWS זמין בכתובת https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex ממליץ בחום לסנן לפי כתובת URL במידת האפשר.

Cloudfront משמשת להעברת תוכן סטטי באמצעות רשת משלוחי תוכן כדי לספק ללקוחות את הביצועים הטובים ביותר ברחבי הארץ.

יציאות המשמשות את התקני שיתוף הפעולה של וידאו של סיסקו הרשומים במקום

ראה גם את מדריך הפריסה של Cisco Webex Meetings Enterprise עבור פגישות התומכות במכשירי וידאו

פרוטוקולמספרי פורטכיווןסוג גישהטווח IPהערות
TCP5061—5070יציאה ל - WebexSIP signalingWebexהקצה התקשורתי של Webex מאזין לנמלים אלה.
TCP5061, 5065נכנסים לרשת שלךSIP signalingWebexתנועת איתות SIP נכנסת מענן Webex
TCP5061יוצא ל-Webexאיתות SIP ממכשירים רשומים בענןAWSשיחות נכנסות מאפליקציית Webex 1:1 שיחות ומכשירים רשומים בענן ל-SIP URI הרשום שלך באתר. *5061 הוא הפורט המוגדר כברירת מחדל. Webex תומך ביציאות 5061-5070 לשימוש לקוחות כפי שמוגדר ברשומת ה-SIP SRV שלהם.
TCP/UDP1719, 1720, 15000—19999יוצא ל-WebexH.323 LSWebexאם נקודת הקצה שלך דורשת תקשורת עם שומר הסף, פתח גם את פורט 1719, הכולל את Lifesize
TCP/UDPנמלים חולפים, 36000—59999נכנסיציאות מדיהWebexאם אתם משתמשים בכביש מהיר של סיסקו, יש להגדיר את טווחי המדיה ל -36000 -59999. אם אתה משתמש בנקודת קצה או בבקרת שיחה של צד שלישי, יש להגדיר אותם לשימוש בטווח זה.
TCP443נכנסקרבה בין מכשירים בזמן אמתרשת מקומיתאפליקציית Webex או אפליקציית Webex Desktop חייבת להיות בעלת נתיב IPv4 הניתן לניתוב בינה לבין מכשיר הווידאו באמצעות HTTPS

עבור לקוחות המאפשרים ל - Webex לקבל שיחות נכנסות מהממשלה מאפליקציית Webex 1:1 שיחות ומכשירים רשומים בענן לכתובת ה - URI הרשומה שלך ב - SIP. עליך גם לאפשר קישוריות עם AWS Gov Cloud West (אזור: אנחנו,גוב,מערב,1. אנא עיין בתיעוד של AWS כדי לזהות את טווחי כתובות ה-IP עבור אזור AWS Gov Cloud West. התיעוד של AWS זמין בכתובת https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

יציאות בשימוש על ידי Edge Audio

זה נדרש רק אם אתם משתמשים ב-Edge Audio.

פרוטוקולמספרי פורטכיווןסוג גישהטווח IPהערות
TCP5061—5062נכנסים לרשת שלךSIP signalingWebexאיתות SIP נכנס עבור Edge Audio
TCP5061—5065יציאה ל - WebexSIP signalingWebexאיתות SIP יוצא עבור Edge Audio
TCP/UDPנמלים חולפים, 8000—59999נכנסים לרשת שלךיציאות מדיהWebexבחומת אש ארגונית, יש לפתוח פורטים לתעבורה נכנסת לכביש המהיר עם טווח פורטים בין 8000 ל-59999

הגדר את mTLS באמצעות האפשרויות הבאות:

דומיינים וכתובות URL עבור שירותי Webex Calling

א * מוצג בתחילת כתובת URL (לדוגמה, *.webex.com) מציין ששירותים בדומיין ברמה העליונה ובכל תת-הדומיינים נגישים.

טבלה 3. שירותי Webex
Domain/URLתיאוראפליקציות ומכשירים של Webex המשתמשים באלה domains/URLs

*.webex.com

*.cisco.com

*.webexgov.us

שיחות ליבה של Webex & שירותי Webex Aware

הקצאת זהות

אחסון זהויות

אימות

שירותי OAuth

קליטת המכשיר

כאשר טלפון מתחבר לרשת בפעם הראשונה או לאחר איפוס להגדרות היצרן ללא אפשרויות DHCP מוגדרות, הוא יוצר קשר עם שרת הפעלת המכשיר לצורך הקצאת גישה ללא מגע. טלפונים חדשים משתמשים ב-activate.cisco.com וטלפונים עם גרסת קושחה מוקדמת מ-11.2(1), ממשיכים להשתמש ב-webapps.cisco.com לצורך הקצאת נתונים.

הורד את עדכוני הקושחה והמיקום של המכשיר מאתר binaries.webex.com.

הכול
*.wbx2.com ו *.ciscospark.comמשמש למודעות לענן, CSDM, WDM, כספית וכן הלאה. שירותים אלה נחוצים כדי שהאפליקציות והמכשירים יוכלו ליצור קשר עם Webex Calling & שירותי Webex Aware במהלך ואחרי הקליטה.הכול
*.webexapis.com

מיקרו-שירותי Webex המנהלים את היישומים והמכשירים שלך.

שירות תמונת פרופיל

שירות לוח לבן

שירות קירבה

שירות נוכחות

שירות רישום

שירות לוח שנה

שירות חיפוש

הכול
*.webexcontent.com

שירות העברת הודעות Webex הקשור לאחסון קבצים כללי, כולל:

קבצי משתמש

קבצים שעברו קידוד מחדש

תמונות

צילומי מסך

תוכן לוח לבן

לָקוּחַ & יומני המכשיר

תמונות פרופיל

לוגואים למיתוג

קובצי יומן רישום

ייצוא קבצי CSV בכמות גדולה & ייבוא קבצים (Control Hub)

שירותי העברת הודעות באפליקציית Webex.
אחסון קבצים באמצעות webexcontent.com הוחלף על ידי clouddrive.com באוקטובר 2019
טבלה 4. שירותים נוספים הקשורים ל-Webex (דומיינים של צד שלישי)
Domain/URLתיאוראפליקציות ומכשירים של Webex המשתמשים באלה domains/URLs

*.appdynamics.com

*.eum-appdynamics.com

מעקב אחר ביצועים, לכידת שגיאות וקריסות, מדדי הפעלה.Control Hub
*.huron-dev.comשירותי מיקרו של Webex Calling, כגון שירותי החלפת מצב, הזמנת מספרי טלפון ושירותי הקצאה.Control Hub
*.sipflash.comשירותי ניהול מכשירים. שדרוגי קושחה ומטרות קליטה מאובטחות.אפליקציות Webex

*.google.com

*.googleapis.com

התראות לאפליקציות Webex במכשירים ניידים (דוגמה: הודעה חדשה, כאשר השיחה נענית)

עבור תת-רשתות IP, עיינו בקישורים אלה

שירות מסרי ענן (FCM) של גוגל פיירבייס

שירות התראות דחיפה של אפל (APNS)

יישום Webex

רשתות משנה IP עבור שירותי Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24
  • 144.196.17.0/24

פורטים המשמשים את Webex Calling

טבלה 5. שירותי Webex Calling ו-Webex Aware
מטרת החיבורכתובות מקוריציאות מקורפרוטוקולכתובות יעדיציאות יעדהערות
איתות על שיחות ל-Webex Calling‏ (SIP TLS)שער מקומי - חיצוני (NIC)8000—65535TCPראה רשתות משנה של IP עבור שירותי Webex Calling.5062, 8934

אֵלֶה IPs/ports נחוצים לאיתות שיחות SIP-TLS יוצא משערים מקומיים, מכשירים ויישומים (מקור) אל Webex Calling Cloud (יעד).

פורט 5062 (נדרש עבור trunk מבוסס תעודה). ופורט 8934 (נדרש עבור trunk מבוסס רישום)

מכשירים5060—50808934
יישומיםארעי (תלוי במערכת ההפעלה)
מדיה של שיחה ל-Webex Calling (SRTP)שער מקומי - NIC חיצוני8000—48198*UDPראה רשתות משנה של IP עבור שירותי Webex Calling.

8500—8700,19560—65535 (SRTP מעל UDP)

אופטימיזציית מדיה מבוססת STUN ו-ICE-Lite אינה נתמכת עבור Webex לממשל.

אֵלֶה IPs/ports משמשים למדיה יוצאת של שיחות SRTP משערי גישה מקומיים, מכשירים ויישומים (מקור) אל Webex Calling Cloud (יעד).

עבור טופולוגיות רשת מסוימות שבהן נעשה שימוש בחומות אש בתוך מבנה הלקוח, יש לאפשר גישה לטווחי יציאות המקור והיעד שהוזכרו בתוך הרשת שלך כדי שהמדיה תוכל לזרום דרכן.

דוגמה: עבור יישומים, יש לאפשר את טווח יציאות המקור והיעד בין 8500 ל-8700.

מכשירים19560—19660
יישומים8500—8700
איתות על שיחות לשער PSTN‏ (SIP TLS)שער מקומי - NIC פנימי8000—65535TCPשער ITSP PSTN שלך או Unified CMתלוי באפשרות PSTN (לדוגמה, בדרך כלל 5060 או 5061 עבור Unified CM)
מדיית שיחות לשער PSTN‏ (SRTP)שער מקומי - NIC פנימי8000—48198*UDPשער ITSP PSTN שלך או Unified CMתלוי באפשרות PSTN (לדוגמה, בדרך כלל 5060 או 5061 עבור Unified CM)
תצורת מכשיר וניהול קושחה (מכשירי Cisco)מכשירי Webex CallingזמניTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

נדרש מהסיבות הבאות:

  1. מעבר מטלפונים ארגוניים (Cisco Unified CM) ל-Webex Calling. ראה upgrade.cisco.com למידע נוסף. ה-cloudupgrader.webex.com משתמש בפורטים: 6970,443 עבור תהליך העברת הקושחה.

  2. שדרוגי קושחה וקליטה מאובטחת של מכשירים (MPP וטלפוני חדר או שולחני) באמצעות קוד הפעלה בן 16 ספרות (GDS).

  3. עבור CDA / EDOS - הקצאה מבוססת כתובת MAC. משמש מכשירים (טלפוני MPP, התקני ATA והתקני ATA של SPA) עם קושחה חדשה יותר.

  4. כאשר טלפון מתחבר לרשת בפעם הראשונה או לאחר איפוס להגדרות היצרן, מבלי שאפשרויות DHCP מוגדרות, הוא יוצר קשר עם שרת הפעלת מכשיר לצורך הקצאת גישה ללא מגע. טלפונים חדשים משתמשים ב-"activate.cisco.com" במקום "webapps.cisco.com" לצורך הקצאה. טלפונים עם קושחה ששוחררה לפני גרסה 11.2(1) ממשיכים להשתמש ב-"webapps.cisco.com". מומלץ לאפשר את כל תת-רשתות ה-IP הללו.

תצורת יישוםיישומי Webex CallingזמניTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443משמש לאימות Idbroker, שירותי תצורת יישומים עבור לקוחות, גישה לאינטרנט מבוססת דפדפן לטיפול עצמי וגישה לממשקי ניהול.
סנכרון זמן מכשיר (NTP)מכשירי Webex Calling51494UDPראה רשתות משנה של IP עבור שירותי Webex Calling.123כתובות IP אלה נחוצות לסנכרון זמן עבור מכשירים (טלפוני MPP, התקני ATA והתקני ATA של SPA)
רזולוציית שם התקן ורזולוציית שם אפליקציהמכשירי Webex CallingזמניUDP ו-TCPמוגדר על-ידי המארח53

משמש לחיפושי DNS כדי לגלות את כתובות ה-IP של שירותי Webex Calling בענן.

למרות שחיפושי DNS טיפוסיים מתבצעים דרך UDP, חלקם עשויים לדרוש TCP, אם תשובות השאילתה אינן יכולות להתאים אותן לחבילות UDP.
סנכרון זמן יישוםיישומי Webex Calling123UPDמוגדר על-ידי המארח123
CScanכלי טרום-סמכה למוכנות רשת מבוססת אינטרנט עבור Webex CallingזמניUPDראה רשתות משנה של IP עבור שירותי Webex Calling.19569—19760כלי קדם-סמכה למוכנות רשת מבוססת אינטרנט עבור Webex Calling. עבור אל cscan.webex.com לקבלת מידע נוסף.
טבלה 6. שירותי Webex Calling ו-Webex Aware נוספים (צד שלישי)
מטרת החיבורכתובות מקוריציאות מקורפרוטוקולכתובות יעדיציאות יעדהערות
שירותי APNS ו-FCM של התראות דחיפהיישומי Webex CallingזמניTCP

עיין ברשתות משנה של IP המוזכרות תחת הקישורים

שירות התראות דחיפה של אפל (APNS)

העברת הודעות ענן של גוגל-פיירבייס (FCM)

443, 2197, 5228, 5229, 5230, 5223התראות לאפליקציות Webex במכשירים ניידים (דוגמה: כאשר אתה מקבל הודעה חדשה או כאשר מענה לשיחה)
  • *טווח יציאות המדיה של CUBE ניתן להגדרה באמצעות טווח rtp-port.
  • אם כתובת שרת פרוקסי מוגדרת עבור האפליקציות והמכשירים שלך, תעבורת האיתות נשלחת לשרת הפרוקסי. מדיה המועברת באמצעות SRTP דרך UDP אינה נשלחת לשרת הפרוקסי. זה חייב לזרום ישירות לחומת האש שלך במקום זאת.
  • אם אתם משתמשים בשירותי NTP ו-DNS ברשת הארגונית שלכם, פתחו את הפורטים 53 ו-123 דרך חומת האש.