Requisiti di rete per Webex for Government (FedRAMP)

Webex Meetings
Webex Calling

Riferimento rapido delle porte e degli intervalli IP delle riunioni

I seguenti intervalli IP vengono utilizzati dai siti distribuiti sul cluster riunioni FedRAMP. Per questo documento, questi intervalli sono denominati "intervalli IP Webex":

150.253.150.0/23 (da 150.253.150.0 a 150.253.151.255)
144.196.224.0/21 (da 144.196.224.0 a 144.196.231.255)
23.89.18.0/23 (da 23.89.18.0 a 23.89.19.255)
163.129.16.0/21 (da 163.129.16.0 a 163.129.23.255)
170.72.254.0/24 (da 170.72.254.0 a 170.72.254.255)
170.133.156.0/22 (da 170.133.156.0 a 170.133.159.255)
207.182.160.0/21 (da 207.182.160.0 a 207.182.167.255)
207.182.168.0/23 (da 207.182.168.0 a 207.182.169.255)
207.182.176.0/22 (da 207.182.176.0 a 207.182.179.255)
207.182.190.0/23 (da 207.182.190.0 a 207.182.191.255)
216.151.130.0/24 (da 216.151.130.0 a 216.151.130.255)
216.151.134.0/24 (da 216.151.134.0 a 216.151.134.255)
216.151.135.0/25 (da 216.151.135.0 a 216.151.135.127)
216.151.135.240/28 (da 216.151.135.240 a 216.151.135.255)
216.151.138.0/24 (da 216.151.138.0 a 216.151.138.255)
216.151.139.0/25 (da 216.151.139.0 a 216.151.139.127)
216.151.139.240/28 (da 216.151.139.241 a 216.151.139.254)

Servizi distribuiti

I servizi distribuiti su questo intervallo IP includono, ma non sono limitati a, quanto segue:

Sito Web della riunione (ad esempio, customersite.webex.com)
Server dati riunione
Server multimediali per audio computer (VoIP) e video webcam
Servizi XML/API, inclusa la pianificazione degli Strumenti di produttività
Server di registrazione basata su rete (NBR)
Servizi secondari quando i servizi primari sono in manutenzione o stanno riscontrando difficoltà tecniche

I seguenti URI vengono utilizzati per controllare l'elenco di revoca dei certificati per i nostri certificati di sicurezza. Gli elenchi di revoca dei certificati per garantire che nessun certificato compromesso possa essere utilizzato per intercettare il traffico Webex sicuro. Questo traffico si verifica sulla porta TCP 80:

*.quovadisglobal.com.
*.digicert.com
*.identrust.com (certificati IdenTrust)

I seguenti UserAgent verranno trasmessi da Webex tramite il processo utiltp in Webex e devono essere consentiti attraverso il firewall di un'agenzia:

UserAgent=WebexInMeetingWin
UserAgent=WebexInMeetingMac
UserAgent=prefetchDocShow
UserAgent=standby

https://activation.webex.com/api/v1/ping come parte degli URL consentiti. Viene utilizzato come parte del processo di attivazione del dispositivo, e "il dispositivo lo utilizza prima di sapere che è un dispositivo FedRAMP. Il dispositivo invia un codice di attivazione senza informazioni FedRAMP, il servizio vede che si tratta di un codice di attivazione FedRAMP, quindi li reindirizza."

Tutto il traffico FedRAMP richiede la crittografia TLS 1.2 e la crittografia mTLS 1.2 per i dispositivi registrati SIP locali.

Porte utilizzate dai client Webex Meetings (inclusi i dispositivi registrati sul cloud)

Protocol

Numeri porta/e

Direzione

Tipo di traffico

Intervallo IP

Commenti

TCP

80/443

In uscita verso Webex

HTTP, HTTPS

Webex e AWS (non consigliato per filtrare in base all'IP)

*.webex.com
*.gov.ciscospark.com
*.s3.us-gov-west-1.amazonaws.com (viene utilizzato per servire contenuti statici e file)
*.wbx2.com

Webex consiglia il filtraggio tramite URL. SE si Filtra per indirizzo IP, è necessario consentire intervalli IP AWS GovCloud, Cloudfront e Webex.

TCP/UDP

In uscita al DNS locale

DNS (Domain Name Services)

Solo server DNS

Utilizzato per le ricerche DNS per individuare gli indirizzi IP dei server Webex nel cloud. Sebbene le tipiche ricerche DNS vengano effettuate su UDP, alcune possono richiedere il protocollo TCP, se le risposte alla query non riescono a rientrare nei pacchetti UDP.

UCCHIARE

9000, 5004

In uscita verso Webex

Contenuto multimediale client Webex principale (RTP VoIP e video)

Webex

La porta multimediale del client Webex viene utilizzata per audio del computer, video della webcam e streaming di condivisione del contenuto. L'apertura di questa porta è necessaria per garantire la migliore esperienza multimediale possibile.

TCP

5004, 443, 80

In uscita verso Webex

Contenuto multimediale client Webex alternativo (RTP VoIP e video)

Webex

Porte di fall-back per la connettività multimediale quando la porta UDP 9000 non è aperta nel firewall

UDP/TCP

Audio: da 52000 a 52049

Video: da 52100 a 52199

In ingresso alla rete

Contenuto multimediale client Webex (Voip e video)

Ritorno da AWS e Webex

Webex comunica con la porta di destinazione ricevuta quando il client esegue la connessione. È necessario configurare un firewall attraverso il quale devono passare queste connessioni di ritorno.

Questa opzione è abilitata per impostazione predefinita.

TCP/UDP

Porte temporanee specifiche per OS

In ingresso alla rete

Traffico di ritorno da Webex

Ritorno da AWS e Webex

Webex comunica con la porta di destinazione ricevuta quando il client esegue la connessione. È necessario configurare un firewall attraverso il quale devono passare queste connessioni di ritorno.

Questo viene solitamente aperto automaticamente in un firewall stateful, comunque è elencato qui per completezza.

Per i clienti che abilitano Webex per il Settore pubblico e che non possono consentire il filtraggio basato su URL per HTTPS, sarà necessario consentire la connettività con AWS Gov Cloud West (regione: us‐gov‐west‐1) e sul fronte cloud (assistenza: FRONTE MANTELLO). Esaminare la documentazione AWS per identificare gli intervalli IP per la regione AWS Gov Cloud West e AWS Cloud Front. La documentazione AWS è disponibile su https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex consiglia vivamente di filtrare tramite URL quando possibile.

Cloudfront è utilizzato per contenuti statici forniti tramite la rete di consegna dei contenuti per offrire ai clienti le migliori prestazioni in tutto il paese.

Porte utilizzate da dispositivi di collaborazione video Cisco registrati in locale

Vedere anche la Guida alla distribuzione Enterprise di Cisco Webex Meetings per le riunioni abilitate per dispositivi video

Protocol	Numeri di porta	Direzione	Tipo di accesso	Intervallo IP	Commenti
TCP	5061—5070	In uscita verso Webex	Segnale SIP	Webex	Il dispositivo periferico multimediale Webex è in ascolto su queste porte
TCP	5061, 5065	In ingresso alla rete	Segnale SIP	Webex	Traffico segnali SIP in entrata dal cloud Webex
TCP	5061	In uscita verso Webex	Segnalazione SIP dai dispositivi registrati su cloud	AWS	Chiamate in entrata da Webex App 1:1 Calling e dispositivi registrati su cloud al tuo URI SIP registrato in locale. *5061 è la porta predefinita. Webex supporta porte 5061—5070 che devono essere utilizzate dai clienti come definito nel record SIP SRV
TCP/UDP	1719, 1720, 15000—19999	In uscita verso Webex	H.323 LS	Webex	Se l'endpoint richiede la comunicazione gatekeeper, aprire anche la porta 1719, che include Lifesize
TCP/UDP	Porte effimere, 36000—59999	In entrata	Porte multimediali	Webex	Se stai utilizzando Cisco Expressway, devi impostare l'intervallo di porte multimediali su 36000-59999. Se si utilizza un endpoint o un controllo chiamate di terze parti, è necessario configurarli per l'uso di questo intervallo.
TCP	443	In entrata	Prossimità dispositivo locale	Rete locale	L'app Webex o l'app desktop Webex devono disporre di un percorso di indirizzamento IPv4 tra se stessa e il dispositivo video utilizzando HTTPS

Per i clienti che abilitano Webex per il Settore pubblico e che ricevono chiamate in entrata da dispositivi registrati su Webex App 1:1 Calling e Cloud sul tuo URI SIP registrato locale. È inoltre necessario consentire la connettività con AWS Gov Cloud West (regione: us‐gov‐west‐1). Esaminare la documentazione AWS per identificare gli intervalli IP per la regione West di AWS Gov Cloud. La documentazione AWS è disponibile su https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Porte utilizzate da Edge Audio

Questa operazione è necessaria solo se si utilizza Edge Audio.

Protocol	Numeri di porta	Direzione	Tipo di accesso	Intervallo IP	Commenti
TCP	5061—5062	In ingresso alla rete	Segnale SIP	Webex	Segnalazione SIP in entrata per Edge Audio
TCP	5061—5065	In uscita verso Webex	Segnale SIP	Webex	Segnalazione SIP in uscita per Edge Audio
TCP/UDP	Porte effimere, 8000—59999	In ingresso alla rete	Porte multimediali	Webex	Su un firewall aziendale, è necessario aprire le porte per il traffico in ingresso a Expressway con un intervallo di porte da 8000 a 59999

Configurare mTLS utilizzando le seguenti opzioni:

Configurare l'autenticazione |reciproca TLS di Expressway.
Piattaforme audio e video |Cisco Webex supportate dalle autorità di certificazione radice.
Guida alla |configurazione audio Edge.

Domini e URL per i servizi Webex Calling

Un * mostrato all'inizio di un URL (ad esempio, *.webex.com) indica che i servizi nel dominio di livello superiore e tutti i sottodomini devono essere accessibili.

Tabella 3. Servizi Webex

Dominio/URL

Descrizione

App e dispositivi Webex che utilizzano questi domini/URL

*.webex.com

*.cisco.com

*.webexgov.us

Servizi di base Webex Calling e Webex Aware

provisioning del dispositivo

Storage identità

Autenticazione

Servizi OAuth

inserimento nuovo dispositivo

Quando un telefono si collega a una rete per la prima volta o dopo un ripristino impostazioni di fabbrica senza opzioni DHCP impostate, contatta un server di attivazione del dispositivo per il provisioning zero touch. I nuovi telefoni utilizzano active.cisco.com e i telefoni con release del firmware precedenti alla 11.2(1) continuano a utilizzare webapps.cisco.com per il provisioning.

Scaricare il firmware del dispositivo e gli aggiornamenti delle impostazioni internazionali da binari.webex.com .

Tutti

*.wbx2.com e *.ciscospark.com

Utilizzata per consapevolezza cloud, CSDM, WDM, mercurio e così via. Questi servizi sono necessari affinché le app e i dispositivi possano contattare i servizi Webex Calling e Webex Aware durante e dopo l'onboarding.

Tutti

*.webexapis.com

Microservizi Webex che gestiscono applicazioni e dispositivi.

Servizio di immagine del profilo

Servizio di lavagna

Servizio di prossimità

Servizio di presenza

Iscrizione richiesta

Servizio calendario

Cerca dispositivo

Tutti

*.webexconnect.com

Servizio di messaggistica Webex correlato allo storage generale di file, che include:

Linee utenti

File transcodificati

Immagini

Screenshot

Comandi per la lavagna

Registri client e dispositivi

Immagini di profilo

Loghi di branding

Casella file

File di esportazione CSV in blocco e file di importazione (Control Hub)

Servizi di messaggistica dell'app Webex.

Storage di file mediante webexcontent.com sostituito da clouddrive.com a ottobre 2019

Tabella 4. Servizi aggiuntivi correlati a Webex (domini di terze parti)
Dominio/URL	Descrizione	App e dispositivi Webex che utilizzano questi domini/URL
.appdynamics.com .eum-appdynamics.com	Monitoraggio delle prestazioni, acquisizione di errori e arresto anomalo, metriche di sessione.	Control Hub
*.huron-dev.com	Micro servizi Webex Calling come servizi di attivazione/disattivazione, ordinazione di numeri di telefono e servizi di assegnazione.	Control Hub
*.sipflash.com	Servizio gestione dispositivo Aggiornamenti del firmware e operazioni di onboarding sicure.	App Webex
.google.com .googleapis.com	Notifiche alle app Webex su dispositivi mobili (esempio: nuovo messaggio, quando si risponde alla chiamata) Per le subnet IP , fare riferimento a questi collegamenti Servizio Google Firebase Cloud messaggistica (FCM). Servizio di notifica push Apple (APNS)	App Webex

Subnet IP per i servizi Webex Calling

23.89.18.0/23
163.129.16.0/21
150.253.150.0/23
144.196.224.0/21
144.196.16.0/24

Porte utilizzate da Webex Calling

Tabella 5. Servizi Webex Calling e Webex Aware
Scopo connessione:	Indirizzi di origine	Porte di origine	Protocol	Indirizzi di destinazione	Porte di destinazione	Note
Segnali di chiamata a Webex Calling (SIP TLS)	Gateway locale esterno (NIC)	8000—65535	TCP	Fai riferimento a Subnet IP per i servizi Webex Calling.	5062, 8934	Questi IP/porte sono necessari per i segnali di chiamata SIP-TLS in uscita da gateway locali, dispositivi e applicazioni (origine) Webex Calling cloud (destinazione). Porta 5062 (richiesta per trunk basato su certificato). E la porta 8934 (richiesta per il trunk basato su registrazione
	Dispositivi	5060—5080			8934
	Applicazioni	Temporaneo (dipendente dal sistema operativo)			8934
Contenuto multimediale chiamata a Webex Calling (STUN, SRTP	NIC esterna al gateway locale	8000—48198^†^*	UDP	Fai riferimento a Subnet IP per i servizi Webex Calling.	5004, 9000 (porte STUN) 8500—8700,19560—65535 (SRTP su UDP)	Questi IP/porte sono necessari per il contenuto multimediale delle chiamate SRTP in uscita da gateway locali, dispositivi e applicazioni (origine) al cloud Webex Calling (destinazione). Per le chiamate all'interno dell'organizzazione in cui STUN, la negoziazione ICE ha esito positivo, il relè multimediale nel cloud viene rimosso come percorso di comunicazione. In questi casi il flusso multimediale è direttamente tra le App/i dispositivi dell'utente. Per esempio: Se l'ottimizzazione multimediale ha esito positivo, le applicazioni inviano i contenuti multimediali direttamente tra loro su porte comprese tra 8500 e 9700 e i dispositivi inviano i contenuti multimediali direttamente tra loro su porte comprese tra 19560 e 19660. Per alcune topologie di rete in cui vengono utilizzati firewall all'interno di una sede del cliente, consentire l'accesso per gli intervalli di porte di origine e di destinazione menzionati all'interno della rete affinché il contenuto multimediale possa passare. Esempio: Per le applicazioni, consentire l'intervallo di porte di origine e di destinazione da 8500 a 8700.
	Dispositivi	19560—19660
	Applicazioni	DA 8500 A 8700
Segnali di chiamata al gateway PSTN (SIP TLS)	NIC interna al gateway locale	8000—65535	TCP	La tua PSTN ITSP GW o Unified CM	Dipende dall'opzione PSTN (ad esempio, solitamente 5060 o 5061 per Unified CM)
Contenuto multimediale di chiamata al gateway PSTN (SRTP)	NIC interna al gateway locale	8000—48198^†^*	UDP	La tua PSTN ITSP GW o Unified CM	Dipende dall'opzione PSTN (ad esempio, in genere 5060 o 5061 per Unified CM)
Configurazione del dispositivo e gestione del firmware (dispositivi Cisco)	Dispositivi Webex Calling	Temporaneo	TCP	3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26	443,6970	Obbligatorio per i seguenti motivi: Migrazione dai telefoni Enterprise (Cisco Unified CM) a Webex Calling. Vedere aggiornamento.cisco.com per ulteriori informazioni. cloudupgrader.webex.com utilizza le porte: 6970.443 per il processo di migrazione del firmware. Questi IP sono necessari per il onboarding sicuro di dispositivi (MPP e telefoni da sala o da scrivania) utilizzando il codice di attivazione a 16 cifre (GDS). Per CDA/EDOS - provisioning basato su indirizzo MAC. Utilizzato dai dispositivi (telefoni MPP, ATA e ATA SPA) con firmware più recente. Quando un telefono si collega a una rete per la prima volta o dopo un ripristino impostazioni di fabbrica, senza le opzioni DHCP impostate, contatta un server di attivazione del dispositivo per il provisioning zero touch. I nuovi telefoni utilizzano "activate.cisco.com" anziché "webapps.cisco.com" per il provisioning. I telefoni con release del firmware precedenti alla 11.2(1) continuano a utilizzare "webapps.cisco.com". Si consiglia di consentire tutte queste subnet IP .
Configurazione applicazione	Applicazioni Webex Calling	Temporaneo	TCP	62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19	443, 8443	Utilizzato per l'autenticazione Idbroker, i servizi di configurazione dell'applicazione per i client, accesso Web basato su browser per l'autoassistenza E l'accesso alle interfacce di amministrazione.
Sincronizzazione orario dispositivo (NTP)	Dispositivi Webex Calling	51494	UDP	Fai riferimento a Subnet IP per i servizi Webex Calling.	123	Questi indirizzi IP sono necessari per la sincronizzazione dell'orario per i dispositivi (telefoni MPP, ATA e ATA SPA)
Risoluzione nome dispositivo e risoluzione nome applicazione	Dispositivi Webex Calling	Temporaneo	UDP e TCP	Definito dall'host	53	Utilizzato per le ricerche DNS per individuare gli indirizzi IP dei server Webex nel cloud. Sebbene le tipiche ricerche DNS vengano effettuate su UDP, alcune possono richiedere il protocollo TCP, se le risposte alla query non riescono a rientrare nei pacchetti UDP.
Sincronizzazione orario applicazione	Applicazioni Webex Calling	123	UPD	Definito dall'host	123
CScan	Strumento di pre-qualificazione della preparazione della rete basato su Web per Webex Calling	Temporaneo	UPD	Fai riferimento a Subnet IP per i servizi Webex Calling.	19569—19760	Strumento di prequalificazione rete basato su Web per Webex Calling. Vai a cscan.webex.com per ulteriori informazioni.

Tabella 6. Servizi aggiuntivi Webex Calling e Webex Aware (di terze parti)
Scopo connessione:	Indirizzi di origine	Porte di origine	Protocol	Indirizzi di destinazione	Porte di destinazione	Note
Servizi APNS e FCM di notifiche push	Applicazioni Webex Calling	Temporaneo	TCP	Fare riferimento a Sottoreti IP menzionate sotto i collegamenti Servizio di notifica push Apple (APNS) Google-Firebase Cloud messaggistica (FCM)	443, 2197, 5228, 5229, 5230, 5223	Notifiche alle app Webex su dispositivi mobili (esempio: quando si riceve un nuovo messaggio o quando si risponde a una chiamata)

^{† L'intervallo di porte multimediali CUBE è configurabile con rtp-port range.}
Se è configurato un indirizzo del server proxy per le app e i dispositivi, il traffico di segnalazione viene inviato al proxy. Il supporto SRTP trasportato su UDP non viene inviato al server proxy. Deve invece passare direttamente al firewall.
Se si utilizzano servizi NTP e DNS all'interno della rete aziendale, aprire le porte 53 e 123 attraverso il firewall.